Casa > cibernético Notícias > Google’s ProjectZero Puzzled by Microsoft, CVE-2017-0037 Ainda não corrigido
CYBER NEWS

ProjectZero do Google confundido pela Microsoft, CVE-2017-0037 Ainda não corrigido

O Project Zero do Google relatou à Microsoft um bug de segurança no Edge e no Internet Explorer 11 em 25 de novembro, 2016, que ainda não foi corrigido. a vulnerabilidade, identificado como CVE-2017-0037, would allow remote code execution where attackers could crash browsers and execute arbitrary code.

Como mencionado, a erro was reported in November last year, and was revealed to the public several days ago when ProjectZero’s 90-day disclosure deadline expired. No patch has been released by Microsoft.

relacionado: Computadores velhos fazer os usuários Drink and Shout, Microsoft diz pesquisa

More about CVE-2017-0037

According to Google, this vulnerability is a type confusion issue located in HandleColumnBreakOnColumnSpanningElement. The bug could be exploited by a remote attack who could use the bug to execute arbitrary code on a Windows 10 computer by simply employing a page with a malicious CSS token sequence and JavaScript, as explained by MITRE.

Aqui está a descrição oficial:

Microsoft Internet Explorer 11 and Microsoft Edge have a type confusion issue in the Layout::MultiColumnBoxBuilder::HandleColumnBreakOnColumnSpanningElement function in mshtml.dll, which allows remote attackers to execute arbitrary code via vectors involving a crafted Cascading Style Sheets (CSS) token sequence and crafted JavaScript code that operates on a TH element.

além do que, além do mais, Google has included a report where a proof-of-concept displays how the crashes in both browsers could be caused.

relacionado: Erros Android cruciais sendo corrigido por Google

Google Surprised by Microsoft’s Lack of Reaction

Ivan Fratric, the researcher who found the bug says he “didn’t expect this one to miss the deadline”. The bug passed the 90-day deadline ProjectZero usually gives to vendors to fix address security issues.

Por outro lado, Microsoft recently delayed its February 2017 patch which will be released on March 14. Contudo, no explanation has been given for this delay. Flash Player-related issues were fixed in Edge and IE last week but there was no mention of the issue disclosed by Google.

Milena Dimitrova

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

limite de tempo está esgotado. Recarregue CAPTCHA.