Proyecto Cero de Google informó a Microsoft un fallo de seguridad en Internet Explorer y Edge 11 el 25 de noviembre, 2016, que todavía no ha sido parcheado. La vulnerabilidad, identificada como CVE-2017-0037, permitiría la ejecución remota de código en la que los atacantes podrían chocar navegadores y ejecutar código arbitrario.
como se ha mencionado, la insecto se informó en noviembre del año pasado, y fue revelado hace público varios días cuando plazo de divulgación de 90 días de ProjectZero caducado. No hay parche ha sido liberado por Microsoft.
Relacionado: Ordenadores antiguos que los usuarios Drink and Shout, La encuesta dice Microsoft
Más información acerca de CVE-2017-0037
De acuerdo con Google, esta vulnerabilidad es un problema de tipo confusión situado en HandleColumnBreakOnColumnSpanningElement. El error podría ser aprovechada por un ataque a distancia que podría utilizar el fallo para ejecutar código arbitrario en un sistema Windows 10 ordenador con sólo el empleo de una página con una secuencia de tokens CSS y JavaScript malicioso, según lo explicado por MITRE.
Esta es la descripción oficial:
Microsoft Internet Explorer 11 y Microsoft Edge tiene un problema de tipo de confusión en el diseño::MultiColumnBoxBuilder::función HandleColumnBreakOnColumnSpanningElement en mshtml.dll, que permite a atacantes remotos ejecutar código arbitrario a través de vectores que implican un elaboradas Cascading Style Sheets (CSS) secuencia de tokens y elaborado código JavaScript que opera sobre un elemento TH.
Adicionalmente, Google ha incluido un informe en una prueba de concepto muestra cómo podría ser causado los accidentes en ambos navegadores.
Relacionado: Errores cruciales Android Estar actualizados por Google
Google sorprendido por la falta de reacción de Microsoft
Ivan Fratric, el investigador que encontró el error dice que "no esperaba que éste se pierda la fecha límite". El insecto pasa el plazo de 90 días ProjectZero suele dar a los vendedores para solucionar los problemas de seguridad de direcciones.
Por otra parte, Microsoft ha retrasado recientemente su reunión de febrero 2017 parche que será lanzado en marzo 14. Sin embargo, no se han dado explicaciones de este retraso. cuestiones relacionadas con el reproductor flash se fija en el borde y el IE semana pasada, pero no hubo ninguna mención de la cuestión dado a conocer por Google.