Googles Project Zero berichtet Microsoft eine Sicherheitslücke in Edge-und Internet Explorer 11 am 25. November, 2016, die noch nicht gepatcht. Die Sicherheitslücke, identifiziert als CVE-2017-0037, Remotecodeausführung ermöglichen würde, wo Angreifer Browser zum Absturz bringen könnten und beliebigen Code ausführen.
wie erwähnt, die Fehler wurde im November letzten Jahres berichtet, und wurde der Öffentlichkeit vor einigen Tagen zum Vorschein, wenn Project der 90-Tage-Frist abgelaufen Offenlegung. Ein Patch wurde von Microsoft veröffentlicht.
verbunden: Alte Computer machen Benutzer Trinken und Shout, Microsoft Umfrage sagt
Mehr über CVE-2017-0037
Laut Google, diese Sicherheitsanfälligkeit ist eine Art Verwirrung Problem liegt in HandleColumnBreakOnColumnSpanningElement. Der Fehler könnte durch einen Remote-Angriff ausgenutzt werden, um den Fehler verwenden, kann beliebigen Code auf einem Windows ausführen 10 Computer, indem Sie einfach eine Seite mit einem bösartigen CSS-Token-Sequenz und JavaScript verwendet wird, wie erläutert von MITRE.
Hier ist die offizielle Beschreibung:
Microsoft Internet Explorer 11 und Microsoft Edge eine Art Verwirrung Problem im Layout::MultiColumnBoxBuilder::HandleColumnBreakOnColumnSpanningElement Funktion in mshtml.dll, die ermöglicht es einem Angreifer, beliebigen Code über Vektoren auszuführen eine manipulierte Cascading Style Sheets Beteiligung (CSS) Symbolfolge und in Handarbeit JavaScript-Code, der auf einem TH Element arbeitet.
Außerdem, Google hat einen Bericht enthalten, wo ein Proof-of-Concept zeigt, wie sich die Abstürze in beiden Browsern verursacht werden könnten.
verbunden: Crucial Android Bugs Being gepatchten von Google
Google Überrascht von Microsofts Mangel an Reaction
Ivan Fratric, Der Forscher, der den Fehler gefunden, sagt er "diese nicht erwarten, dass die Frist zu verpassen". Der Fehler hat der 90-Tage-Frist Projectzero gibt in der Regel an Lieferanten-Adresse Sicherheitsprobleme zu beheben.
Andererseits, Microsoft verzögert vor kurzem in ihrem im Februar 2017 Pflaster, das im März veröffentlicht wird 14. Jedoch, keine Erklärung wurde für diese Verzögerung gegeben. Flash Player-Fragen wurden in Rand- und IE letzte Woche festgelegt, aber es gab keinen Hinweis auf die Frage offenbart von Google.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: