Project Zero de Google rapporté à Microsoft un bug de sécurité dans Edge et Internet Explorer 11 le 25 Novembre, 2016, qui n'a pas encore été corrigée. La vulnérabilité, identifié comme CVE-2017-0037, permettrait l'exécution de code à distance où les attaquants pourraient bloquer les navigateurs et exécuter du code arbitraire.
Comme mentionné, la punaise a été rapporté en Novembre l'année dernière, et a été révélé il y a le public plusieurs jours lorsque le délai de divulgation de 90 jours de ProjectZero expiré. Aucun correctif a été publié par Microsoft.
en relation: Vieux ordinateurs Faire utilisateurs Drink and Shout, Says Enquête Microsoft
En savoir plus sur CVE-2017-0037
Selon Google, cette vulnérabilité est une question de type de confusion situé dans HandleColumnBreakOnColumnSpanningElement. Le bug pourrait être exploitée par une attaque à distance qui pourrait utiliser le bug pour exécuter du code arbitraire sur un système Windows 10 ordinateur en utilisant simplement une page avec une séquence de jeton CSS et JavaScript malveillant, comme expliqué par MITRE.
Voici la description officielle:
Microsoft Internet Explorer 11 et Microsoft bord ont un problème de type de confusion dans la mise en page::MultiColumnBoxBuilder::fonction HandleColumnBreakOnColumnSpanningElement dans mshtml.dll, qui permet aux attaquants distants d'exécuter du code arbitraire via des vecteurs impliquant un conçu Cascading Style Sheets (CSS) séquence de jeton et conçu code JavaScript qui fonctionne sur un élément TH.
En outre, Google a inclus un rapport où une preuve de concept montre comment les accidents dans les deux navigateurs pourraient être causés.
en relation: Bugs Android Crucial patchés par Google
Google Surpris par le manque de Microsoft de réaction
Ivan Fratric, le chercheur qui a trouvé le bug, dit-il "ne vous attendez pas à celui-ci manque la date limite". Le bug a passé la date limite ProjectZero 90 jours donne généralement aux fournisseurs pour résoudre les problèmes de sécurité d'adresse.
D'autre part, Microsoft a récemment retardé son Février 2017 correctif qui sera publié sur Mars 14. Cependant, aucune explication n'a été donnée pour ce retard. Flash Player questions liées ont été fixés dans Edge et IE la semaine dernière, mais il n'y avait aucune mention de la question divulguée par Google.