GoogleのProjectZeroは、EdgeとInternetExplorerのセキュリティバグをMicrosoftに報告しました 11 11月25日, 2016, まだパッチが適用されていません. 脆弱性, CVE-2017-0037として識別, 攻撃者がブラウザをクラッシュさせて任意のコードを実行する可能性のあるリモートコード実行を許可します.
述べたように, the バグ 昨年11月に報告されました, 数日前、ProjectZeroの90日間の開示期限が切れたときに公開されました. Microsoftからパッチはリリースされていません.
関連している: 古いコンピュータはユーザーに飲酒と叫びをさせる, マイクロソフトサーベイによると
CVE-2017-0037の詳細
グーグルによると, この脆弱性は、HandleColumnBreakOnColumnSpanningElementにあるタイプの混乱の問題です。. このバグは、Windows上で任意のコードを実行するためにバグを使用する可能性のあるリモート攻撃によって悪用される可能性があります。 10 悪意のあるCSSトークンシーケンスとJavaScriptを含むページを使用するだけでコンピューター, MITERが説明したように.
これが公式の説明です:
Microsoft Internet Explorer 11 およびMicrosoftEdgeには、レイアウトでのタイプの混乱の問題があります::MultiColumnBoxBuilder::mshtml.dllのHandleColumnBreakOnColumnSpanningElement関数, これにより、リモートの攻撃者は、細工されたカスケードスタイルシートを含むベクターを介して任意のコードを実行できます。 (CSS) TH要素で動作するトークンシーケンスと細工されたJavaScriptコード.
加えて, Googleには、概念実証で両方のブラウザのクラッシュがどのように発生する可能性があるかを示すレポートが含まれています.
関連している: Googleによってパッチが適用されている重要なAndroidのバグ
グーグルはマイクロソフトの反応の欠如に驚いた
Ivan Fratric, バグを発見した研究者は、「これが締め切りに間に合わないとは思っていなかった」と述べています。. ProjectZeroがベンダーに提供する90日間の期限を過ぎたバグは、セキュリティの問題に対処するために通常提供されます.
一方で, マイクロソフトは最近2月を延期しました 2017 3月にリリースされるパッチ 14. でも, この遅延についての説明はありません. Flash Player関連の問題は先週EdgeとIEで修正されましたが、Googleによって開示された問題についての言及はありませんでした.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: