Casa > cibernético Notícias > A Microsoft se recusa a corrigir o Zero-Day Exploit no Internet Explorer
CYBER NEWS

Microsoft se recusa a patch Zero-Day Exploit no Internet Explorer

por   |  Última atualização:  |  0 Comentários  

A Microsoft se recusou a corrigir uma vulnerabilidade de dia zero no Internet Explorer para que um pesquisador de segurança detalhes e prova-de-conceito publicado. A falha pode permitir que atacantes para roubar arquivos de computadores com o Windows.

Mais especificamente, o pesquisador testado com sucesso o exploit de dia zero na última versão do navegador Internet Explorer, v11, onde todos os patches de segurança recentes foram aplicados. Os sistemas onde o exploit foi testado são Windows 7, janelas 10, e Windows Server 2012 Sistemas R2.

Exploração de dia zero no Internet Explorer

O pesquisador de segurança John Page acaba de publicar detalhes sobre um XEE (Entidade Externa XML) falha no Internet Explorer. O bug pode ser acionado quando um usuário abre um arquivo MHT.

O que é um arquivo MHT? MHT é um formato de arquivo de página da web. A página da Web arquivada é um MHTML (abreviação de MIME HTML) documento. MHTML salva o conteúdo da página da Web e incorpora recursos externos, tais como imagens, applets, Animações em Flash e assim por diante, em documentos HTML, TechTarget explica.

Observe que quando você salva uma página da web no Internet Explorer como um arquivo da web, a página é salva como um arquivo MHT. Quaisquer links relativos no HTML (que não inclui todas as informações sobre a localização do conteúdo, mas assume que todo o conteúdo está em um diretório no servidor host) será remapeado para que o conteúdo possa ser localizado.

O dia zero recentemente descoberto no IE pode permitir que invasores exfiltrem arquivos locais e conduzam reconhecimento remoto em informações de versão de programas instalados localmente, explica a pesquisadora. Um exemplo é quando um pedido de ‘c:\Python27 NEWS.txt‘ pode retornar informações sobre a versão desse programa, ele adicionou. Em poucas palavras, “O Internet Explorer fica vulnerável a ataques de Entidades externas XML se um usuário abrir localmente um arquivo .MHT especialmente criado.”

O fato de todos os arquivos MHT serem automaticamente configurados para abrir por padrão no IE torna o exploit bastante trivial. As vítimas potenciais só precisarão clicar duas vezes em um arquivo que receberam anteriormente por e-mail ou mensagem instantânea.
De acordo com a página, a vulnerabilidade depende de como o Internet Explorer lida com CTRL + K (guia duplicada), “Antevisão da Impressão,” ou “Impressão” comandos do usuário.

A vulnerabilidade representa um risco de cerca de 7.34 porcentagem de usuários, de acordo com as estatísticas do NetMarketShare, à medida que cada vez menos usuários estão executando o Internet Explorer e confiando em navegadores mais modernos.

Não obstante, o dia zero não deve ser negligenciado, pois o Windows ainda usa o IE como o aplicativo padrão para abrir arquivos MHT. De fato, para os usuários estarem em perigo, eles não precisam ter o IE definido como navegador padrão. O fato de o IE estar presente em seu Windows é suficiente para torná-los vulneráveis, já que os invasores ainda podem encontrar uma maneira de enganar os usuários para que abram um arquivo MHT.

O que a Microsoft disse?

O pesquisador notificou a Microsoft sobre o dia zero há algumas semanas, Em março 27. A má notícia é que a empresa não planeja corrigir o bug em uma correção de segurança urgente. Esta é a resposta que a página obteve da Microsoft em abril 10:

Determinamos que uma correção para esse problema será considerada em uma versão futura deste produto ou serviço. Nesse momento, não forneceremos atualizações contínuas do status da correção para este problema, e fechamos este caso.

Depois de receber esta resposta negativa, o pesquisador decidiu tornar o dia zero público e até lançou um código de prova de conceito e uma demonstração.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Postagens relacionadas:
  1. CVE-2019-1367: Zero-Day no Internet Explorer, remendo Agora CVE-2019-1367 is a new zero-day vulnerability of the remote code...
  2. CVE-2018-8653 no Internet Explorer: Microsoft Patches ainda uma outra Zero-Day Microsoft has just released a security update for Internet Explorer...
  3. CVE-2020-1464: A Microsoft não corrigiu o dia zero para 2 Anos A vulnerabilidade CVE-2020-1464 fazia parte do 120 falhas de segurança...
  4. CVE-2020-0674: Internet Explorer segmentado por kits de exploração Purple Fox e Magnitude New exploits for Microsoft Software including the Windows operating system...
  5. Falhas do Dia Zero Dois em Edge e Internet Explorer Permanecer Unpatched Two unpatched zero-day vulnerabilities lurk in Microsoft Edge and Internet...
  6. Exploit Ataques Kit Crescer em 2015 Q3, O Patch Management é Crucial A intensidade dos ataques maliciosos que aplicaram kits de exploração..
  7. iOS CVE-2021-30807 Zero-Day Exploited in the Wild, remendo Agora Uma vulnerabilidade de dia zero no iOS, iPadOS, e macOS era apenas ...
  8. Microsoft não consegue patch Zero-Day Bug no Windows SymCrypt Tavis Ormandy, pesquisador de segurança da Zero Projeto do Google, has “noticed...

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo