Nowy 0-day dla IE i Edge – Google nie ustaje w produkcji exploitów
Kolejna luka 0-day zagraża przeglądarkom Internet Explorer iEdge, po raz kolejny za jej ujawnieniem stoją ludzie z Google. I poraz kolejny wykorzystano niewydanie przez Microsoft w lutymbiuletynów bezpieczeństwa, które pewnie lukę tę by załatały. WMountain View chyba zacierają ręce – oprogramowanie ich głównegorywala dotknięte jest już trzema podatnościami 0-day, a nanastępne biuletyny bezpieczeństwa poczekamy do 14 marca.
Ivan Fratric z Google Project Zero nie może sobie oczywiście niczarzucić. Luka została odkryta 25 listopada 2016 roku, informacje oniej przekazano do Microsoftu. 90 dni na przygotowanie łatki powinnowystarczyć każdemu. A że łatki nie ma… proszę, oto gotowyexploit. Siedemnaście linijek w HTML, CSS i JS, którewykorzystując pomieszanie między kolumnami tabel hipertekstu itabel arkuszy stylów, prowadzi do awarii funkcjiLayoutMultiColumnBoxBuilderHandleColumnBreakOnColumnSpanningElement w bibliotece mshtml.dll.
Jak możemy przeczytać w objaśnieniu exploita, napastnikmanipulując zmiennymi rax i rcx za pomocą własności tabel, takichjak odległość od ramki czy szerokość pierwszego elementu th,może zawiesić przeglądarkę, pozwalając przy tym na zdalneuruchomienie podrzuconego kodu.
Atak został przetestowany na 64-bitowym Internet Explorerzeuruchomionym na Windows Serverze 2012 R2, ale jak sprawdziliśmy,działa też na Microsoft Edge w Windowsie 10, zdaniem odkrywcy lukipowinien też działać w 32-bitowych wersjach przeglądarek.
Co robić, jak się zabezpieczyć? Na dziś nie ma innegorozwiązania, jak zrezygnować z Internet Explorera lub Edge izastosować inną, odporną na atak przeglądarkę – np. Chrome,Firefoksa,Vivaldiegoczy Operę.
