WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Google tiếp tục tiết lộ lỗ hổng chưa được vá trong Edge/IE
Google vừa tiết lộ một lỗ hổng có mức nghiêm trọng cao trong trình duyệt Edge và Internet Explorer của Microsoft, cho phép kẻ tấn công thực thi mã độc trong một số trường hợp.
Lỗ hổng này xuất phát từ một lỗi type-confusion trong Internet Explorer 11 và Microsoft Edge. Nhà nghiên cứu Ivan Fratric của Project Zero cho biết đã thông báo cho Microsoft về lỗ hổng này vào ngày 25/11 và chỉ tiết lộ lỗ hổng hôm thứ Hai, sau thời hạn 90 ngày về việc công khai lỗ hổng của Google. Công bố của Fratric không đi kèm bất kỳ mã khai thác.
Theo Dữ liệu lỗ hổng quốc gia của Mỹ, lỗ hổng này, CVE-2017-0037, cho phép kẻ tấn công từ xa thực thi mã tùy ý thông qua các vector liên quan đến một CSS hoặc mã JavaScript.
Đây là lần thứ hai trong vòng một tuần các nhà nghiên cứu Project Zero tiết lộ lỗ hổng chưa được vá trong sản phẩm của Microsoft. Thứ hai tuần trước, Project Zero công bố chi tiết về một lỗ hổng trong Windows có thể tiết lộ dữ liệu nhạy cảm được lưu trữ trong bộ nhớ máy tính. Hai lỗ hổng được công bố sau khi Microsoft hoãn bản cập nhật hàng tháng trong tháng 2 cho đến 14/3.
Cho đến nay, chưa có bất kỳ báo cáo về việc các lỗ hổng đang bị khai thác trong thực tế. Để phòng ngừa, người dùng Windows có thể sử dụng các trình duyệt khác thay vì Edge hoặc IE cho đến khi lỗ hổng được khắc phục.
Lỗ hổng này xuất phát từ một lỗi type-confusion trong Internet Explorer 11 và Microsoft Edge. Nhà nghiên cứu Ivan Fratric của Project Zero cho biết đã thông báo cho Microsoft về lỗ hổng này vào ngày 25/11 và chỉ tiết lộ lỗ hổng hôm thứ Hai, sau thời hạn 90 ngày về việc công khai lỗ hổng của Google. Công bố của Fratric không đi kèm bất kỳ mã khai thác.
Theo Dữ liệu lỗ hổng quốc gia của Mỹ, lỗ hổng này, CVE-2017-0037, cho phép kẻ tấn công từ xa thực thi mã tùy ý thông qua các vector liên quan đến một CSS hoặc mã JavaScript.
Đây là lần thứ hai trong vòng một tuần các nhà nghiên cứu Project Zero tiết lộ lỗ hổng chưa được vá trong sản phẩm của Microsoft. Thứ hai tuần trước, Project Zero công bố chi tiết về một lỗ hổng trong Windows có thể tiết lộ dữ liệu nhạy cảm được lưu trữ trong bộ nhớ máy tính. Hai lỗ hổng được công bố sau khi Microsoft hoãn bản cập nhật hàng tháng trong tháng 2 cho đến 14/3.
Cho đến nay, chưa có bất kỳ báo cáo về việc các lỗ hổng đang bị khai thác trong thực tế. Để phòng ngừa, người dùng Windows có thể sử dụng các trình duyệt khác thay vì Edge hoặc IE cho đến khi lỗ hổng được khắc phục.
Theo Ars Technica
Chỉnh sửa lần cuối bởi người điều hành: