O Project Zero do Google relatou à Microsoft um bug de segurança no Edge e no Internet Explorer 11 em 25 de novembro, 2016, que ainda não foi corrigido. a vulnerabilidade, identificado como CVE-2017-0037, permitiria a execução remota de código onde os invasores poderiam travar os navegadores e executar código arbitrário.
Como mencionado, a erro foi relatado em novembro do ano passado, e foi revelado ao público há vários dias, quando o prazo de divulgação de 90 dias do ProjectZero expirou. Nenhum patch foi lançado pela Microsoft.
relacionado: Computadores velhos fazer os usuários Drink and Shout, Microsoft diz pesquisa
Mais sobre CVE-2017-0037
De acordo com o Google, esta vulnerabilidade é um problema de confusão de tipo localizado em HandleColumnBreakOnColumnSpanningElement. O bug pode ser explorado por um ataque remoto que pode usar o bug para executar código arbitrário em um Windows 10 computador simplesmente empregando uma página com uma sequência de token CSS malicioso e JavaScript, conforme explicado por MITER.
Aqui está a descrição oficial:
Microsoft Internet Explorer 11 e o Microsoft Edge têm um problema de confusão de tipo no Layout::MultiColumnBoxBuilder::Função HandleColumnBreakOnColumnSpanningElement em mshtml.dll, que permite que atacantes remotos executem código arbitrário por meio de vetores envolvendo folhas de estilo em cascata criadas (CSS) sequência de tokens e código JavaScript criado que opera em um elemento TH.
além do que, além do mais, O Google incluiu um relatório em que uma prova de conceito exibe como as falhas em ambos os navegadores podem ser causadas.
relacionado: Erros Android cruciais sendo corrigido por Google
Google surpreso com a falta de reação da Microsoft
Ivan Fratric, o pesquisador que encontrou o bug diz que “não esperava que este perdesse o prazo”. O bug ultrapassou o prazo de 90 dias que o ProjectZero geralmente dá aos fornecedores para corrigir problemas de segurança.
Por outro lado, A Microsoft atrasou recentemente seu mês de fevereiro 2017 patch que será lançado em março 14. Contudo, nenhuma explicação foi dada para este atraso. Problemas relacionados ao Flash Player foram corrigidos no Edge e no IE na semana passada, mas não houve menção ao problema divulgado pelo Google.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: