Nowy 0-day dla IE i Edge – Google nie ustaje w produkcji exploitów

Strona główna Aktualności
image

O autorze

Kolejna luka 0-day zagraża przeglądarkom Internet Explorer i Edge, po raz kolejny za jej ujawnieniem stoją ludzie z Google. I po raz kolejny wykorzystano niewydanie przez Microsoft w lutym biuletynów bezpieczeństwa, które pewnie lukę tę by załatały. W Mountain View chyba zacierają ręce – oprogramowanie ich głównego rywala dotknięte jest już trzema podatnościami 0-day, a na następne biuletyny bezpieczeństwa poczekamy do 14 marca.

Ivan Fratric z Google Project Zero nie może sobie oczywiście nic zarzucić. Luka została odkryta 25 listopada 2016 roku, informacje o niej przekazano do Microsoftu. 90 dni na przygotowanie łatki powinno wystarczyć każdemu. A że łatki nie ma… proszę, oto gotowy exploit. Siedemnaście linijek w HTML, CSS i JS, które wykorzystując pomieszanie między kolumnami tabel hipertekstu i tabel arkuszy stylów, prowadzi do awarii funkcji Layout::MultiColumnBoxBuilder::HandleColumnBreakOnColumnSpanningElement w bibliotece mshtml.dll.

Jak możemy przeczytać w objaśnieniu exploita, napastnik manipulując zmiennymi rax i rcx za pomocą własności tabel, takich jak odległość od ramki czy szerokość pierwszego elementu th, może zawiesić przeglądarkę, pozwalając przy tym na zdalne uruchomienie podrzuconego kodu.

Atak został przetestowany na 64-bitowym Internet Explorerze uruchomionym na Windows Serverze 2012 R2, ale jak sprawdziliśmy, działa też na Microsoft Edge w Windowsie 10, zdaniem odkrywcy luki powinien też działać w 32-bitowych wersjach przeglądarek.

Co robić, jak się zabezpieczyć? Na dziś nie ma innego rozwiązania, jak zrezygnować z Internet Explorera lub Edge i zastosować inną, odporną na atak przeglądarkę – np. Chrome, Firefoksa, Vivaldiego czy Operę.

© dobreprogramy