Casa > cibernético Notícias > Microsoft Refuses to Patch Zero-Day Exploit in Internet Explorer
CYBER NEWS

Microsoft se recusa a patch Zero-Day Exploit no Internet Explorer

A Microsoft se recusou a corrigir uma vulnerabilidade de dia zero no Internet Explorer para que um pesquisador de segurança detalhes e prova-de-conceito publicado. A falha pode permitir que atacantes para roubar arquivos de computadores com o Windows.

Mais especificamente, o pesquisador testado com sucesso o exploit de dia zero na última versão do navegador Internet Explorer, v11, onde todos os patches de segurança recentes foram aplicados. Os sistemas onde o exploit foi testado são Windows 7, janelas 10, e Windows Server 2012 Sistemas R2.

Exploração de dia zero no Internet Explorer

O pesquisador de segurança John Page acaba de publicar detalhes sobre um XEE (Entidade Externa XML) falha no Internet Explorer. O bug pode ser acionado quando um usuário abre um arquivo MHT.

O que é um arquivo MHT? MHT é um formato de arquivo de página da web. A página da Web arquivada é um MHTML (abreviação de MIME HTML) documento. MHTML salva o conteúdo da página da Web e incorpora recursos externos, tais como imagens, applets, Animações em Flash e assim por diante, em documentos HTML, TechTarget explica.

Observe que quando você salva uma página da web no Internet Explorer como um arquivo da web, a página é salva como um arquivo MHT. Quaisquer links relativos no HTML (que não inclui todas as informações sobre a localização do conteúdo, mas assume que todo o conteúdo está em um diretório no servidor host) será remapeado para que o conteúdo possa ser localizado.

O dia zero recentemente descoberto no IE pode permitir que invasores exfiltrem arquivos locais e conduzam reconhecimento remoto em informações de versão de programas instalados localmente, explica a pesquisadora. Um exemplo é quando um pedido de ‘c:\Python27 NEWS.txt‘ pode retornar informações sobre a versão desse programa, ele adicionou. Em poucas palavras, “O Internet Explorer fica vulnerável a ataques de Entidades externas XML se um usuário abrir localmente um arquivo .MHT especialmente criado.”

O fato de todos os arquivos MHT serem automaticamente configurados para abrir por padrão no IE torna o exploit bastante trivial. As vítimas potenciais só precisarão clicar duas vezes em um arquivo que receberam anteriormente por e-mail ou mensagem instantânea.
De acordo com a página, a vulnerabilidade depende de como o Internet Explorer lida com CTRL + K (guia duplicada), “Antevisão da Impressão,” ou “Impressão” comandos do usuário.

A vulnerabilidade representa um risco de cerca de 7.34 porcentagem de usuários, de acordo com as estatísticas do NetMarketShare, à medida que cada vez menos usuários estão executando o Internet Explorer e confiando em navegadores mais modernos.

Não obstante, o dia zero não deve ser negligenciado, pois o Windows ainda usa o IE como o aplicativo padrão para abrir arquivos MHT. De fato, para os usuários estarem em perigo, eles não precisam ter o IE definido como navegador padrão. O fato de o IE estar presente em seu Windows é suficiente para torná-los vulneráveis, já que os invasores ainda podem encontrar uma maneira de enganar os usuários para que abram um arquivo MHT.

O que a Microsoft disse?

O pesquisador notificou a Microsoft sobre o dia zero há algumas semanas, Em março 27. A má notícia é que a empresa não planeja corrigir o bug em uma correção de segurança urgente. Esta é a resposta que a página obteve da Microsoft em abril 10:

Determinamos que uma correção para esse problema será considerada em uma versão futura deste produto ou serviço. Nesse momento, não forneceremos atualizações contínuas do status da correção para este problema, e fechamos este caso.

Depois de receber esta resposta negativa, o pesquisador decidiu tornar o dia zero público e até lançou um código de prova de conceito e uma demonstração.

Milena Dimitrova

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...