Accueil > Nouvelles Cyber > Google’s ProjectZero Puzzled by Microsoft, CVE-2017-0037 Still Not Patched
CYBER NOUVELLES

ProjectZero Perplexe de Google par Microsoft, CVE-2017-0037 Still Not Patched

Project Zero de Google rapporté à Microsoft un bug de sécurité dans Edge et Internet Explorer 11 le 25 Novembre, 2016, qui n'a pas encore été corrigée. La vulnérabilité, identifié comme CVE-2017-0037, permettrait l'exécution de code à distance où les attaquants pourraient bloquer les navigateurs et exécuter du code arbitraire.

Comme mentionné, la punaise a été rapporté en Novembre l'année dernière, et a été révélé il y a le public plusieurs jours lorsque le délai de divulgation de 90 jours de ProjectZero expiré. Aucun correctif a été publié par Microsoft.

en relation: Vieux ordinateurs Faire utilisateurs Drink and Shout, Says Enquête Microsoft

En savoir plus sur CVE-2017-0037

Selon Google, cette vulnérabilité est une question de type de confusion situé dans HandleColumnBreakOnColumnSpanningElement. Le bug pourrait être exploitée par une attaque à distance qui pourrait utiliser le bug pour exécuter du code arbitraire sur un système Windows 10 ordinateur en utilisant simplement une page avec une séquence de jeton CSS et JavaScript malveillant, comme expliqué par MITRE.

Voici la description officielle:

Microsoft Internet Explorer 11 et Microsoft bord ont un problème de type de confusion dans la mise en page::MultiColumnBoxBuilder::fonction HandleColumnBreakOnColumnSpanningElement dans mshtml.dll, qui permet aux attaquants distants d'exécuter du code arbitraire via des vecteurs impliquant un conçu Cascading Style Sheets (CSS) séquence de jeton et conçu code JavaScript qui fonctionne sur un élément TH.

En outre, Google a inclus un rapport où une preuve de concept montre comment les accidents dans les deux navigateurs pourraient être causés.

en relation: Bugs Android Crucial patchés par Google

Google Surpris par le manque de Microsoft de réaction

Ivan Fratric, le chercheur qui a trouvé le bug, dit-il "ne vous attendez pas à celui-ci manque la date limite". Le bug a passé la date limite ProjectZero 90 jours donne généralement aux fournisseurs pour résoudre les problèmes de sécurité d'adresse.

D'autre part, Microsoft a récemment retardé son Février 2017 correctif qui sera publié sur Mars 14. Cependant, aucune explication n'a été donnée pour ce retard. Flash Player questions liées ont été fixés dans Edge et IE la semaine dernière, mais il n'y avait aucune mention de la question divulguée par Google.

Milena Dimitrova

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.