Google ProjectZero Perplesso da Microsoft, CVE-2017-0037 Still Not rattoppato
CYBER NEWS

Google ProjectZero Perplesso da Microsoft, CVE-2017-0037 Still Not rattoppato

Google Project Zero segnalato a Microsoft un bug di sicurezza in Edge e Internet Explorer 11 il 25 novembre, 2016, che ancora non è stato patchato. La vulnerabilità, identificato come CVE-2017-0037, consentirebbe l'esecuzione di codice remoto in cui gli aggressori potrebbero bloccarsi browser ed eseguire codice arbitrario.

Come accennato, il insetto è stato segnalato nel novembre dello scorso anno, ed è stato rivelato al pubblico alcuni giorni fa, quando 90 giorni di scadenza rivelazione di ProjectZero scaduto. Nessuna patch è stata rilasciata da Microsoft.

Correlata: Vecchi computer rendere gli utenti bere e Shout, Microsoft dice sondaggio

Di più su CVE-2017-0037

Secondo Google, questa vulnerabilità è un problema di tipo confusione situato in HandleColumnBreakOnColumnSpanningElement. Il bug può essere sfruttata da un attacco remoto che potrebbe usare il bug per eseguire codice arbitrario su un sistema Windows 10 computer semplicemente utilizzando una pagina con un dannoso CSS sequenza di token e JavaScript, come spiegato da MITRE.

Ecco la descrizione ufficiale:

Microsoft Internet Explorer 11 e Microsoft bordo ha un problema di tipo confusione nel layout::MultiColumnBoxBuilder::Funzione HandleColumnBreakOnColumnSpanningElement in Mshtml.dll, che consente agli aggressori remoti di eseguire codice arbitrario attraverso vettori implicati artigianale Cascading Style Sheets (CSS) sequenza di token e realizzato codice JavaScript che opera su un elemento TH.

In aggiunta, Google ha incluso un report in cui come i crash in entrambi i browser potrebbero essere causati proof-of-concept viene visualizzato un.

Correlata: Bug Android cruciali Essere modificati da Google

Google Sorpreso dalla mancanza di Microsoft di reazione

Ivan Fratric, il ricercatore che ha trovato il bug dice che "non si aspettava questo per perdere il termine". Il bug superato il termine di 90 giorni ProjectZero solito dà ai fornitori per risolvere i problemi di sicurezza indirizzo.

D'altronde, Microsoft ha recentemente ritardato del febbraio 2017 patch che sarà pubblicato il marzo 14. Tuttavia, nessuna spiegazione è stata data per questo ritardo. problemi di Flash Player-correlati sono stati fissati in Edge e IE settimana scorsa, ma non vi era alcuna menzione della questione divulgate da Google.

Avatar

Milena Dimitrova

Uno scrittore ispirato e gestore di contenuti che è stato con SensorsTechForum per 4 anni. Gode ​​di ‘Mr. Robot’e le paure‘1984’. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...