Casa > Cyber ​​Notizie > Microsoft rifiuta di patchare l'exploit zero-day in Internet Explorer
CYBER NEWS

Microsoft si rifiuta di Patch exploit zero-day in Internet Explorer

da   |  Ultimo aggiornamento:  |  0 Commenti  

Microsoft ha rifiutato di correggere una vulnerabilità zero-day in Internet Explorer per la quale un ricercatore di sicurezza ha pubblicato i dettagli e proof-of-concept. Il difetto può consentire agli aggressori di rubare i file dal computer che eseguono Windows.

Più specificamente, il ricercatore testato con successo lo zero-day exploit nella sua ultima versione di Internet Explorer Browser, v11, dove sono state applicate tutte le patch di sicurezza più recenti. I sistemi in cui l'exploit è stato testato sono Windows 7, Windows 10, e Windows Server 2012 sistemi R2.

Zero-day exploit in Internet Explorer

Sicurezza ricercatore John pagina appena pubblicato i dettagli su un XEE (XML External Entity) falla in Internet Explorer. Il bug può essere attivato quando un utente apre un file MHT.

Che cosa è un file MHT? MHT è un formato di file di archivio pagina Web. La pagina Web archiviata è un MHTML (abbreviazione di MIME HTML) documento. MHTML salva il contenuto della pagina Web e incorpora risorse esterne, come immagini, applet, animazioni flash e così via, in documenti HTML, TechTarget spiega.

Si noti che quando si salva una pagina Web in Internet Explorer come un archivio web, la pagina viene salvata come file MHT. Tutti i link relativi a HTML (che non includono tutte le informazioni sulla posizione del contenuto, ma assumere tutti i contenuti sono in una directory sul server host) sarà rimappato in modo che il contenuto può essere situato.

La recente scoperta zero-day in IE può consentire agli aggressori di esfiltrare file locali e condurre una ricognizione a distanza sul programma installato localmente le informazioni sulla versione, il ricercatore spiegato. Un esempio è quando una richiesta di ‘c:\Python27 NEWS.txt‘ può restituire le informazioni sulla versione per quel programma, Ha aggiunto. In poche parole, “Internet Explorer è vulnerabile agli attacchi XML External Entity se un utente apre un file MHT appositamente predisposto a livello locale.”

Il fatto che tutti i file MHT vengono impostati automaticamente ad aprire per impostazione predefinita in Internet Explorer rende l'exploit piuttosto banale. I potenziali vittime saranno solo bisogno di fare doppio clic su un file che in precedenza hanno ricevuto via e-mail o instant messaging.
Secondo la pagina, la vulnerabilità si basa sul modo in cui Internet Explorer gestisce CTRL + K (scheda duplicato), “Anteprima di stampa,” o “Stampare” comandi utente.

La vulnerabilità rappresenta un rischio a circa 7.34 per cento degli utenti, secondo le statistiche NetMarketShare, come utenti sempre meno sono in esecuzione di Internet Explorer in quanto si affidano a browser più moderni.

Ciò nonostante, lo zero-day non deve essere trascurato come Windows utilizza ancora IE come l'applicazione predefinita per aprire i file MHT. Infatti, che gli utenti siano in pericolo, non hanno bisogno di avere IE Imposta come browser predefinito. Il fatto che IE è presente nel loro Windows è sufficiente a renderli vulnerabili, come attaccanti possono ancora trovare un modo per indurre gli utenti ad aprire un file MHT.

Che cosa ha fatto Microsoft Say?

Il ricercatore ha comunicato di Microsoft circa la zero-day di un paio di settimane fa, a marzo 27. La cattiva notizia è che la società non ha intenzione di risolvere il bug in un fix di sicurezza urgente. Ecco la risposta Pagina ottenuto da Microsoft Aprile 10:

Abbiamo determinato che una correzione per questo problema verrà presa in considerazione in una futura versione di questo prodotto o servizio. In questo momento, Noi non forniremo aggiornamenti continui sullo stato della correzione di questo problema, e abbiamo chiuso questo caso.

Dopo aver ricevuto questa risposta negativa, il ricercatore ha deciso di fare lo zero-day pubblico e anche rilasciato un codice proof-of-concept e una demo.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Post correlati:
  1. CVE-2019-1367: Zero-Day in Internet Explorer, Patch Ora CVE-2019-1367 is a new zero-day vulnerability of the remote code...
  2. CVE-2018-8653 in Internet Explorer: Microsoft Patch Yet Another Zero-Day Microsoft has just released a security update for Internet Explorer...
  3. CVE-2020-1464: Microsoft non ha applicato la patch Zero-Day per 2 Anni La vulnerabilità CVE-2020-1464 faceva parte di 120 falle di sicurezza...
  4. CVE-2020-0674: Internet Explorer mirato dai kit di exploit Purple Fox e Magnitude New exploits for Microsoft Software including the Windows operating system...
  5. Due Difetti Zero-Day in Edge e Internet Explorer rimangono senza patch Two unpatched zero-day vulnerabilities lurk in Microsoft Edge and Internet...
  6. Exploit Kit attacchi crescono in 2015 Q3, Patch Management è cruciale The intensity of malicious attacks that have applied exploit kits...
  7. iOS CVE-2021-30807 Zero-Day sfruttato in natura, Patch Ora Una vulnerabilità zero-day in iOS, iPadOS, e macOS era solo....
  8. Microsoft non riesce a Patch Zero-Day Bug in Windows SymCrypt Tavis Ormandy, ricercatore di sicurezza a Google Progetto Zero, has “noticed...

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo