В субботу Google Project Zero раскрыл уязвимость в браузерах Microsoft Edge и Internet Explorer; данная брешь позволяет удаленно исполнить произвольный код и оценена как высокой степени опасности. Это новое дополнение к растущему списку известных багов в продуктах Microsoft, патчи для которых пока не выпущены.

Новейшую уязвимость обнаружил исследователь Иван Фратрик (Ivan Fratric); соответствующее уведомление было направлено в Microsoft 25 ноября. В опубликованном отчете о баге Фратрик выразил удивление, что за истекший срок разработчик не смог залатать эту брешь. «Я действительно не ожидал, что они не управятся до дедлайна», — пишет представитель Project Zero.

Ранее в феврале Microsoft объявила, что очередной выпуск обновлений отложен до 14 марта. В итоге две уже преданные гласности уязвимости остались непропатченными, несмотря на наличие соответствующих PoC. Одна из них, CVE-2017-0038, была обнаружена в GDI Windows, вторая, CVE-2017-0016, связана с использованием новейшей версии протокола SMB.

В соответствии с принятой в Google политикой участники Project Zero публикуют уязвимость через 90 дней после уведомления разработчика, независимо от того, вышел патч или нет.

Новейшая уязвимость (CVE-2017-0037), обнаруженная Project Zero, присутствует в Edge на Windows 10 и в IE 11; она относится к классу type confusion («путаница типов данных»). Согласно описанию в базе MITRE, «в Microsoft Internet Explorer 11 и Microsoft Edge имеется проблема с функцией Layout::MultiColumnBoxBuilder:: HandleColumnBreakOnColumnSpanningElement библиотеки mshtml.dll, которая позволяет удаленному автору атаки исполнить произвольный код через векторы, предполагающие использование специально составленной последовательности лексем каскадных таблиц стилей (CSS) и особого JavaScript-кода, работающего на элементе TH».

Project Zero опубликовал также PoC-эксплойт для данной уязвимости. Хотя 90 дней уже прошло, некоторые подробности бага пока не разглашаются. «От дальнейших комментариев по поводу перспективности этого бага я воздержусь, по крайней мере до той поры, когда выйдет патч, — пишет Фратрик. — В отчете и так уже много информации на эту тему».

В описании, представленном Project Zero, рассматривается пример крэша браузера и воздействия на неинициализированную область памяти в ходе обработки браузером данных в контексте ориентированного на работу с записями API для XML (переменных rax). «Крэш происходит, так как rax указывает на неинициализированную область памяти, — поясняет Фратрик. — Атакующий может воздействовать на rax, модифицируя свойства таблицы, такие как border-spacing и width для первого TH-элемента. Поскольку в DOM имеются два типа столбцов — столбцы HTML-таблиц и столбцы CSS, я полагаю, что IE/Edge их попросту путает».

В отсутствие патча от Microsoft меры защиты, по словам исследователя, ограничены: «Добавление проверки типа данных где-то в уязвимой функции может оказаться достаточным, но может также лишь снять симптом, не удалив основную причину».

Напомним, в феврале Microsoft хотя и с опозданием, но все же устранила некоторые уязвимости, выпустив обновления для IE и Edge, а именно залатала те же критические бреши во Flash Player, которые несколько ранее закрыла сама Adobe.

Категории: аналитика, Главное, Уязвимости

Комментарии (1)

  1. Сергей
    1

    Они говорят: «Edge совершенно новый браузер не имеющий отношения к IE». А дыры одни и те же что там, что там. Как же так, товарищи?

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *