Google's Project Zero gemeld aan Microsoft een security bug in Edge en Internet Explorer 11 op 25 november, 2016, die nog steeds niet is gepatcht. De kwetsbaarheid, geïdentificeerd als CVE-2017-0037, zou uitvoering van externe code waar de aanvallers browsers kan crashen en uitvoeren van willekeurige code.
Zoals genoemd, de kever werd gemeld in november vorig jaar, en werd geopenbaard aan het publiek enkele dagen geleden, toen ProjectZero de 90-dagen openbaarmaking deadline verstreken. Geen patch is uitgebracht door Microsoft.
Verwant: Oude computers Gebruikers Drink and Shout, Microsoft zegt Enquête
Meer over CVE-2017-0037
Volgens Google, Deze kwetsbaarheid is een soort verwarring kwestie zich in HandleColumnBreakOnColumnSpanningElement. De bug kan worden misbruikt door een externe aanval die de bug zou kunnen gebruiken om willekeurige code uit te voeren op een Windows 10 computer door simpelweg gebruik van een pagina met een kwaadaardige CSS token sequentie en JavaScript, zoals uitgelegd door MITRE.
Hier is de officiële beschrijving:
Microsoft Internet Explorer 11 en Microsoft Edge hebben een soort verwarring kwestie in de lay-out::MultiColumnBoxBuilder::HandleColumnBreakOnColumnSpanningElement functie in Mshtml.dll, die het mogelijk maakt externe aanvallers willekeurige code uit te voeren via vectoren met een bewerkte Cascading Style Sheets (CSS) token-sequentie en vervaardigd JavaScript-code die werkt op een TH-element.
Bovendien, Google heeft een rapport waarin een proof-of-concept laat zien hoe de crashes in beide browsers kan veroorzaakt worden opgenomen.
Verwant: Cruciale Android Bugs Wordt Patched door Google
Google Verrast door Microsoft's gebrek aan reactie
Ivan Fratric, de onderzoeker die de bug gevonden, zegt hij "had niet verwacht dat dit aan de deadline te missen". De bug passeerde de 90-dagen termijn ProjectZero geeft meestal aan leveranciers aan het adres van beveiligingsproblemen op te lossen.
Anderzijds, Microsoft heeft onlangs vertraagd haar februari 2017 patch die zal worden uitgebracht op maart 14. Echter, geen verklaring is gegeven voor deze vertraging. Flash Player-gerelateerde problemen werden vastgesteld in de Rand en IE vorige week, maar er was geen melding gemaakt van het probleem beschreven door Google.