Popis
V aplikaci Microsoft Edge a Microsoft Internet Explorer byly nalezeny více závažných chyb. Škodlivé uživatele mohou tyto chyby zabezpečení zneužít k vynechání bezpečnostních omezení, ke spuštění libovolného kódu a spoof uživatelského rozhraní.
Níže je uveden kompletní seznam chyb zabezpečení:
- Nesprávná manipulace s požadavky na přesměrování v prohlížečích společnosti Microsoft může být vzdáleně využívána prostřednictvím speciálně navržených webových stránek, aby se vyhnuli bezpečnostním omezením;
- Nesprávný přístup k objektům v paměti v aplikaci Internet Explorer lze vzdáleně využívat prostřednictvím speciálně navrženého webu k provedení libovolného kódu;
- Nesprávné zacházení s objekty v paměti v aplikaci Microsoft Edge lze vzdáleně využívat prostřednictvím speciálně vytvořené webové stránky k provedení libovolného kódu;
- Nesprávné použití zásady Same Origin pro prvky HTML, které se nacházejí v jiných oknech prohlížeče v systému Microsoft Edge, lze vzdáleně využít tím, že přesvědčíte uživatele, aby načítal stránku nebo navštívil webové stránky, aby obcházel bezpečnostní omezení.
- Nesprávná manipulace s objekty v paměti v jazyce Chakra JavaScript v aplikaci Microsoft Edge může být vzdáleně využívána prostřednictvím speciálně vytvořené webové stránky pro spuštění libovolného kódu;
- Nesprávné analyzování obsahu HTTP v prohlížečích společnosti Microsoft lze vzdáleně využít tím, že přesvědčíte uživatele, aby klikl na speciálně navrženou adresu URL pro spoofování uživatelského rozhraní.
- Mnoho zranitelných míst souvisejících s nesprávnou manipulací s objekty v paměti v jazyce JavaScript v prohlížečích společnosti Microsoft lze vzdáleně využívat prostřednictvím speciálně navrženého webu, dokumentu Microsoft Office, který je hostitelem renderovacího prohlížeče nebo vloženého ovládacího prvku ActiveX označeného jako "bezpečné pro inicializaci" libovolný kód;
- Mnoho zranitelných míst souvisejících s nesprávnou manipulací s objekty v paměti v motoru VBScript v aplikaci Microsoft Internet Explorer lze vzdáleně využívat prostřednictvím speciálně navrženého webu, kancelářského dokumentu společnosti Microsoft, který je hostitelem motoru vykreslování prohlížeče nebo vloženého ovládacího prvku ActiveX označeného jako "bezpečný pro inicializaci" spustit libovolný kód.
Technické údaje
Chyba zabezpečení (7), (8) souvisí s vykreslováním v motorech JavaScript.
Oficiální doporučení
- CVE-2017-8594
- CVE-2017-8595
- CVE-2017-8596
- CVE-2017-8598
- CVE-2017-8599
- CVE-2017-8601
- CVE-2017-8602
- CVE-2017-8603
- CVE-2017-8604
- CVE-2017-8605
- CVE-2017-8606
- CVE-2017-8607
- CVE-2017-8608
- CVE-2017-8609
- CVE-2017-8610
- CVE-2017-8611
- CVE-2017-8617
- CVE-2017-8618
- CVE-2017-8619
seznam CVE
seznam KB
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com
Našli jste v popisu této chyby zabezpečení nepřesnost? Dej nám vědět!