Google Project Zero segnalato a Microsoft un bug di sicurezza in Edge e Internet Explorer 11 il 25 novembre, 2016, che ancora non è stato patchato. La vulnerabilità, identificato come CVE-2017-0037, consentirebbe l'esecuzione di codice remoto in cui gli aggressori potrebbero bloccarsi browser ed eseguire codice arbitrario.
Come accennato, il insetto è stato segnalato nel novembre dello scorso anno, ed è stato rivelato al pubblico alcuni giorni fa, quando 90 giorni di scadenza rivelazione di ProjectZero scaduto. Nessuna patch è stata rilasciata da Microsoft.
Correlata: Vecchi computer rendere gli utenti bere e Shout, Microsoft dice sondaggio
Di più su CVE-2017-0037
Secondo Google, questa vulnerabilità è un problema di tipo confusione situato in HandleColumnBreakOnColumnSpanningElement. Il bug può essere sfruttata da un attacco remoto che potrebbe usare il bug per eseguire codice arbitrario su un sistema Windows 10 computer semplicemente utilizzando una pagina con un dannoso CSS sequenza di token e JavaScript, come spiegato da MITRE.
Ecco la descrizione ufficiale:
Microsoft Internet Explorer 11 e Microsoft bordo ha un problema di tipo confusione nel layout::MultiColumnBoxBuilder::Funzione HandleColumnBreakOnColumnSpanningElement in Mshtml.dll, che consente agli aggressori remoti di eseguire codice arbitrario attraverso vettori implicati artigianale Cascading Style Sheets (CSS) sequenza di token e realizzato codice JavaScript che opera su un elemento TH.
In aggiunta, Google ha incluso un report in cui come i crash in entrambi i browser potrebbero essere causati proof-of-concept viene visualizzato un.
Correlata: Bug Android cruciali Essere modificati da Google
Google Sorpreso dalla mancanza di Microsoft di reazione
Ivan Fratric, il ricercatore che ha trovato il bug dice che "non si aspettava questo per perdere il termine". Il bug superato il termine di 90 giorni ProjectZero solito dà ai fornitori per risolvere i problemi di sicurezza indirizzo.
D'altronde, Microsoft ha recentemente ritardato del febbraio 2017 patch che sarà pubblicato il marzo 14. Tuttavia, nessuna spiegazione è stata data per questo ritardo. problemi di Flash Player-correlati sono stati fissati in Edge e IE settimana scorsa, ma non vi era alcuna menzione della questione divulgate da Google.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: