Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

KLA11002
Více zranitelností v aplikacích Microsoft Edge a Microsoft Internet Explorer
Aktualizováno: 05/17/2018
Detekováno
?
05/09/2017
Míra zranitelnosti
?
Kritická
Popis

V Microsoft Edge, Microsoft Internet Explorer 9 až 11 bylo nalezeno více vážných zranitelných míst. Škodlivé uživatele mohou tyto chyby zabezpečení zneužívat ke spuštění libovolného kódu, získat oprávnění, obejít bezpečnostní omezení, spoofovat uživatelské rozhraní.

Níže je uveden kompletní seznam chyb zabezpečení:

  1. Nesprávná manipulace se smíšeným obsahem v aplikaci Microsoft Internet Explorer může být vzdáleně využívána prostřednictvím škodlivého webu nebo prostřednictvím e-mailu, který obsahuje speciálně navržený soubor * .url k vynechání bezpečnostních omezení;
  2. Nesprávná manipulace s přístupem k objektům v paměti v aplikaci Microsoft Edge může být vzdáleně využívána prostřednictvím speciálně navrženého webu pro spuštění libovolného kódu;
  3. Více zranitelností ve službě JavaScript Engine, které souvisejí s manipulací s přístupem k objektům v paměti v aplikaci Microsoft Internet Explorer, lze vzdáleně využít prostřednictvím speciálně vytvořené webové stránky pro spuštění libovolného kódu;
  4. Mnoho zranitelných míst souvisejících s nesprávnou manipulací s objekty v motorech JavaScriptu prováděných při vykreslování lze vzdáleně využívat prostřednictvím speciálně navržených webových stránek a dokumentů společnosti Microsoft nebo pomocí integrovaného ovládacího prvku ActiveX označeného jako "bezpečné pro inicializaci" pro spuštění libovolného kódu;
  5. Nesprávná manipulace se smíšeným obsahem v aplikaci Microsoft Internet Explorer lze vzdáleně využívat prostřednictvím speciálně navrženého webu k provedení libovolného kódu;
  6. Mnoho zranitelných míst spojených s nesprávnou manipulací s objekty v paměti, které provádějí skriptovací stroje společnosti Microsoft Edge, lze vzdáleně využívat prostřednictvím speciálně navržených webových stránek a dokumentů společnosti Microsoft nebo pomocí integrovaného ovládacího prvku ActiveX označeného jako "bezpečné pro inicializaci" k provedení libovolného kódu;
  7. Nesprávná analýza kódu HTML a nesprávný způsob vykreslování filtru SmartScreen lze vzdáleně využívat prostřednictvím speciálně navržené adresy URL pro spoofování uživatelského rozhraní.
  8. Nesprávná manipulace s sandboxem v aplikaci Microsoft Edge může být vzdáleně využívána k tomu, aby unikla z karantény aplikace AppContainer a získala oprávnění;
  9. Více zranitelností v nástroji Chakra JavaScript Engine lze vzdáleně využívat prostřednictvím speciálně navržených webových stránek a dokumentů společnosti Microsoft nebo pomocí integrovaného ovládacího prvku ActiveX označeného jako "bezpečný pro inicializaci" k provedení libovolného kódu;
  10. Nesprávné zacházení s objekty v paměti v jazyce JavaScript Engine lze vzdáleně využívat prostřednictvím speciálně navržených webových stránek a dokumentů společnosti Microsoft nebo integrovaného ovládacího prvku ActiveX označeného jako "bezpečné pro inicializaci" spouštěním libovolného kódu;
  11. Nesprávné vykreslení stránky bez domény v adresáři URL v aplikaci Microsoft Edge lze vzdáleně využít tím, že přesvědčíte uživatele, aby navštívil speciálně vytvořenou webovou stránku, aby získal oprávnění a provedl akce v kontextu intranetové zóny a přístup k některým funkcím prohlížeče, který nejsou při prohlížení v kontextu internetové zóny k dispozici.

Technické údaje

Chyba zabezpečení (1) umožňuje načtení obsahu HTTP, který je nezabezpečený, do míst HTTS, které jsou zabezpečené.

Chyby zabezpečení (9) v jazyce Chakra JavaScript Engine souvisejí s vykreslováním v aplikaci Microsoft Edge.

Chcete-li využít všechny výše popsané chyby zabezpečení prostřednictvím speciálně vytvořené webové stránky, měl by uživatel se zlým úmyslem určitým způsobem přesvědčit uživatele, aby ho navštívil.

Zasažené produkty

Microsoft Edge
Microsoft Internet Explorer verze 9 až 11

Řešení

Nainstalujte potřebné aktualizace ze sekce KB, které jsou uvedeny v systému Windows Update (Windows Update je zpravidla přístupný z ovládacího panelu)

Oficiální doporučení

CVE-2017-0266
CVE-2017-0241
CVE-2017-0240
CVE-2017-0238
CVE-2017-0236
CVE-2017-0235
CVE-2017-0234
CVE-2017-0233
CVE-2017-0231
CVE-2017-0230
CVE-2017-0229
CVE-2017-0228
CVE-2017-0227
CVE-2017-0226
CVE-2017-0224
CVE-2017-0222
CVE-2017-0221
CVE-2017-0064
CVE-2017-0223

Dopad
?
SUI 
[?]

ACE 
[?]

SB 
[?]

PE 
[?]
Související produkty
Microsoft Internet Explorer
Microsoft Edge
CVE-IDS
?

CVE-2017-0266
CVE-2017-0241
CVE-2017-0240
CVE-2017-0238
CVE-2017-0236
CVE-2017-0235
CVE-2017-0234
CVE-2017-0233
CVE-2017-0231
CVE-2017-0230
CVE-2017-0229
CVE-2017-0228
CVE-2017-0227
CVE-2017-0226
CVE-2017-0224
CVE-2017-0222
CVE-2017-0221
CVE-2017-0064

Oficiální doporučení Microsoft
CVE-2017-0266
CVE-2017-0241
CVE-2017-0240
CVE-2017-0238
CVE-2017-0236
CVE-2017-0235
CVE-2017-0234
CVE-2017-0233
CVE-2017-0231
CVE-2017-0230
CVE-2017-0229
CVE-2017-0228
CVE-2017-0227
CVE-2017-0226
CVE-2017-0224
CVE-2017-0222
CVE-2017-0221
CVE-2017-0064
CVE-2017-0223
KB seznam

4016871
4019474
4018271
4019215
4019264
4019216
4034668
4034733
4034674
4034681
4034658
4034660


Odkaz na originál