Popis
V Microsoft Edge, Microsoft Internet Explorer 9 až 11 bylo nalezeno více vážných zranitelných míst. Škodlivé uživatele mohou tyto chyby zabezpečení zneužívat ke spuštění libovolného kódu, získat oprávnění, obejít bezpečnostní omezení, spoofovat uživatelské rozhraní.
Níže je uveden kompletní seznam chyb zabezpečení:
- Nesprávná manipulace se smíšeným obsahem v aplikaci Microsoft Internet Explorer může být vzdáleně využívána prostřednictvím škodlivého webu nebo prostřednictvím e-mailu, který obsahuje speciálně navržený soubor * .url k vynechání bezpečnostních omezení;
- Nesprávná manipulace s přístupem k objektům v paměti v aplikaci Microsoft Edge může být vzdáleně využívána prostřednictvím speciálně navrženého webu pro spuštění libovolného kódu;
- Více zranitelností ve službě JavaScript Engine, které souvisejí s manipulací s přístupem k objektům v paměti v aplikaci Microsoft Internet Explorer, lze vzdáleně využít prostřednictvím speciálně vytvořené webové stránky pro spuštění libovolného kódu;
- Mnoho zranitelných míst souvisejících s nesprávnou manipulací s objekty v motorech JavaScriptu prováděných při vykreslování lze vzdáleně využívat prostřednictvím speciálně navržených webových stránek a dokumentů společnosti Microsoft nebo pomocí integrovaného ovládacího prvku ActiveX označeného jako "bezpečné pro inicializaci" pro spuštění libovolného kódu;
- Nesprávná manipulace se smíšeným obsahem v aplikaci Microsoft Internet Explorer lze vzdáleně využívat prostřednictvím speciálně navrženého webu k provedení libovolného kódu;
- Mnoho zranitelných míst spojených s nesprávnou manipulací s objekty v paměti, které provádějí skriptovací stroje společnosti Microsoft Edge, lze vzdáleně využívat prostřednictvím speciálně navržených webových stránek a dokumentů společnosti Microsoft nebo pomocí integrovaného ovládacího prvku ActiveX označeného jako "bezpečné pro inicializaci" k provedení libovolného kódu;
- Nesprávná analýza kódu HTML a nesprávný způsob vykreslování filtru SmartScreen lze vzdáleně využívat prostřednictvím speciálně navržené adresy URL pro spoofování uživatelského rozhraní.
- Nesprávná manipulace s sandboxem v aplikaci Microsoft Edge může být vzdáleně využívána k tomu, aby unikla z karantény aplikace AppContainer a získala oprávnění;
- Více zranitelností v nástroji Chakra JavaScript Engine lze vzdáleně využívat prostřednictvím speciálně navržených webových stránek a dokumentů společnosti Microsoft nebo pomocí integrovaného ovládacího prvku ActiveX označeného jako "bezpečný pro inicializaci" k provedení libovolného kódu;
- Nesprávné zacházení s objekty v paměti v jazyce JavaScript Engine lze vzdáleně využívat prostřednictvím speciálně navržených webových stránek a dokumentů společnosti Microsoft nebo integrovaného ovládacího prvku ActiveX označeného jako "bezpečné pro inicializaci" spouštěním libovolného kódu;
- Nesprávné vykreslení stránky bez domény v adresáři URL v aplikaci Microsoft Edge lze vzdáleně využít tím, že přesvědčíte uživatele, aby navštívil speciálně vytvořenou webovou stránku, aby získal oprávnění a provedl akce v kontextu intranetové zóny a přístup k některým funkcím prohlížeče, který nejsou při prohlížení v kontextu internetové zóny k dispozici.
Technické údaje
Chyba zabezpečení (1) umožňuje načtení obsahu HTTP, který je nezabezpečený, do míst HTTS, které jsou zabezpečené.
Chyby zabezpečení (9) v jazyce Chakra JavaScript Engine souvisejí s vykreslováním v aplikaci Microsoft Edge.
Chcete-li využít všechny výše popsané chyby zabezpečení prostřednictvím speciálně vytvořené webové stránky, měl by uživatel se zlým úmyslem určitým způsobem přesvědčit uživatele, aby ho navštívil.
Oficiální doporučení
- CVE-2017-0241
- CVE-2017-0240
- CVE-2017-0238
- CVE-2017-0236
- CVE-2017-0235
- CVE-2017-0234
- CVE-2017-0233
- CVE-2017-0231
- CVE-2017-0230
- CVE-2017-0229
- CVE-2017-0228
- CVE-2017-0227
- CVE-2017-0226
- CVE-2017-0224
- CVE-2017-0222
- CVE-2017-0221
- CVE-2017-0064
- CVE-2017-0223
seznam CVE
seznam KB
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com