Googles ProjectZero Forvirrede af Microsoft, CVE-2017-0037 Stadig Ikke Patched
CYBER NEWS

Googles ProjectZero Forvirrede af Microsoft, CVE-2017-0037 Stadig Ikke Patched

Googles Project Zero rapporteret til Microsoft en sikkerhed fejl i Edge og Internet Explorer 11 den 25. november, 2016, som stadig ikke er blevet lappet. Sårbarheden, identificeret som CVE-2017-0037, ville tillade fjernkørsel af programkode, hvor angriberne kunne gå ned browsere og udføre vilkårlig kode.

Som sagt, den insekt blev rapporteret i november sidste år, og blev afsløret for offentligheden flere dage siden, da ProjectZero s 90-dages deadline offentliggørelse udløbet. Ingen patch er blevet frigivet af Microsoft.

Relaterede: Gamle computere Foretag Brugere Drik og Shout, Microsoft Survey Says

Mere om CVE-2017-0037

Ifølge Google, denne sårbarhed er en type forvirring problem ligger i HandleColumnBreakOnColumnSpanningElement. Fejlen kan udnyttes af en fjern angreb, der kunne bruge bug at udføre vilkårlig kode på en Windows 10 computer ved blot at ansætte en side med en ondsindet CSS token sekvens og JavaScript, som forklaret af MITRE.

Her er den officielle beskrivelse:

Microsoft Internet Explorer 11 og Microsoft Edge har en type forvirring problem i Layout::MultiColumnBoxBuilder::HandleColumnBreakOnColumnSpanningElement funktion i Mshtml.dll, som muligt for fjernangribere at udføre vilkårlig kode via vektorer, der involverer en fabrikeret Cascading Style Sheets (CSS) token sekvens og udformet JavaScript-kode, der fungerer på en TH element.

Desuden, Google har inkluderet en rapport, hvor en proof-of-concept viser, hvor de går ned i begge browsere kan skyldes.

Relaterede: Afgørende Android Bugs blive Patched af Google

Google Overrasket af Microsofts manglende reaktion

Ivan Fratric, den forsker, der fandt fejlen siger han "havde ikke forventet denne ene til at gå glip af fristen". Fejlen bestået 90-dages deadline ProjectZero normalt giver til leverandører for at løse adresse sikkerhedsspørgsmål.

På den anden side, Microsoft for nylig forsinket sin meddelelse fra februar 2017 patch som vil blive udgivet i marts 14. Men, nogen forklaring er afgivet i denne forsinkelse. Flash Player-relaterede emner blev fastsat i Edge og IE sidste uge, men der var ingen omtale af spørgsmålet oplyses af Google.

Avatar

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum for 4 år. Nyder ’Mr. Robot’og frygt’1984’. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...