Googles Project Zero rapporteret til Microsoft en sikkerhed fejl i Edge og Internet Explorer 11 den 25. november, 2016, som stadig ikke er blevet lappet. Sårbarheden, identificeret som CVE-2017-0037, ville tillade fjernkørsel af programkode, hvor angriberne kunne gå ned browsere og udføre vilkårlig kode.
Som sagt, den insekt blev rapporteret i november sidste år, og blev afsløret for offentligheden flere dage siden, da ProjectZero s 90-dages deadline offentliggørelse udløbet. Ingen patch er blevet frigivet af Microsoft.
Relaterede: Gamle computere Foretag Brugere Drik og Shout, Microsoft Survey Says
Mere om CVE-2017-0037
Ifølge Google, denne sårbarhed er en type forvirring problem ligger i HandleColumnBreakOnColumnSpanningElement. Fejlen kan udnyttes af en fjern angreb, der kunne bruge bug at udføre vilkårlig kode på en Windows 10 computer ved blot at ansætte en side med en ondsindet CSS token sekvens og JavaScript, som forklaret af MITRE.
Her er den officielle beskrivelse:
Microsoft Internet Explorer 11 og Microsoft Edge har en type forvirring problem i Layout::MultiColumnBoxBuilder::HandleColumnBreakOnColumnSpanningElement funktion i Mshtml.dll, som muligt for fjernangribere at udføre vilkårlig kode via vektorer, der involverer en fabrikeret Cascading Style Sheets (CSS) token sekvens og udformet JavaScript-kode, der fungerer på en TH element.
Desuden, Google har inkluderet en rapport, hvor en proof-of-concept viser, hvor de går ned i begge browsere kan skyldes.
Relaterede: Afgørende Android Bugs blive Patched af Google
Google Overrasket af Microsofts manglende reaktion
Ivan Fratric, den forsker, der fandt fejlen siger han "havde ikke forventet denne ene til at gå glip af fristen". Fejlen bestået 90-dages deadline ProjectZero normalt giver til leverandører for at løse adresse sikkerhedsspørgsmål.
På den anden side, Microsoft for nylig forsinket sin meddelelse fra februar 2017 patch som vil blive udgivet i marts 14. Men, nogen forklaring er afgivet i denne forsinkelse. Flash Player-relaterede emner blev fastsat i Edge og IE sidste uge, men der var ingen omtale af spørgsmålet oplyses af Google.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: