r   e   k   l   a   m   a
r   e   k   l   a   m   a

Nowy 0-day dla IE i Edge – Google nie ustaje w produkcji exploitów

Strona główna AktualnościBEZPIECZEŃSTWO

Kolejna luka 0-day zagraża przeglądarkom Internet Explorer i Edge, po raz kolejny za jej ujawnieniem stoją ludzie z Google. I po raz kolejny wykorzystano niewydanie przez Microsoft w lutym biuletynów bezpieczeństwa, które pewnie lukę tę by załatały. W Mountain View chyba zacierają ręce – oprogramowanie ich głównego rywala dotknięte jest już trzema podatnościami 0-day, a na następne biuletyny bezpieczeństwa poczekamy do 14 marca.

Ivan Fratric z Google Project Zero nie może sobie oczywiście nic zarzucić. Luka została odkryta 25 listopada 2016 roku, informacje o niej przekazano do Microsoftu. 90 dni na przygotowanie łatki powinno wystarczyć każdemu. A że łatki nie ma… proszę, oto gotowy exploit. Siedemnaście linijek w HTML, CSS i JS, które wykorzystując pomieszanie między kolumnami tabel hipertekstu i tabel arkuszy stylów, prowadzi do awarii funkcji Layout::MultiColumnBoxBuilder::HandleColumnBreakOnColumnSpanningElement w bibliotece mshtml.dll.

Jak możemy przeczytać w objaśnieniu exploita, napastnik manipulując zmiennymi rax i rcx za pomocą własności tabel, takich jak odległość od ramki czy szerokość pierwszego elementu th, może zawiesić przeglądarkę, pozwalając przy tym na zdalne uruchomienie podrzuconego kodu.

r   e   k   l   a   m   a

Atak został przetestowany na 64-bitowym Internet Explorerze uruchomionym na Windows Serverze 2012 R2, ale jak sprawdziliśmy, działa też na Microsoft Edge w Windowsie 10, zdaniem odkrywcy luki powinien też działać w 32-bitowych wersjach przeglądarek.

Co robić, jak się zabezpieczyć? Na dziś nie ma innego rozwiązania, jak zrezygnować z Internet Explorera lub Edge i zastosować inną, odporną na atak przeglądarkę – np. Chrome, Firefoksa, Vivaldiego czy Operę.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.   

Trwa konkurs "Ogól naczelnego", w którym codziennie możecie wygrać najnowsze maszynki systemowe Hydro Connect 5 marki Wilkinson Sword.

Więcej informacji

Gratulacje!

znalezione maszynki:

Twój czas:

Ogól Naczelnego!
Znalazłeś(aś) 10 maszynek Wilkinson Sword
oraz ogoliłaś naszego naczelnego!
Przejdź do rankingu
Podpowiedź: Przyciśnij lewy przycisk myszki i poruszaj nią, aby ogolić brodę.