Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

KLA11084
Více zranitelností v aplikacích Microsoft Edge a Microsoft Internet Explorer
Aktualizováno: 05/17/2018
Detekováno
?
08/08/2017
Míra zranitelnosti
?
Kritická
Popis

V aplikaci Microsoft Internet Explorer a Microsoft Edge byly nalezeny více závažných chyb. Škodí uživatelé mohou tyto chyby zabezpečení využít k získání oprávnění, obcházet bezpečnostní omezení, provést libovolný kód a získat citlivé informace.

Níže je uveden kompletní seznam chyb zabezpečení:

  1. Nesprávná manipulace s sandboxem v aplikaci Microsoft Edge může být místně využívána k získání oprávnění;
  2. Nesprávné ověření zásad UMCI (Integrita uživatelského režimu) lze lokálně využít tím, že přesvědčíte uživatele, aby navštívil speciálně vytvořenou webovou stránku a spustil škodlivou aplikaci, aby obcházel bezpečnostní omezení.
  3. Mnoho zranitelných míst souvisejících s nesprávnou manipulací s objekty v paměti v motorech JavaScriptu lze vzdáleně využívat prostřednictvím speciálně navrženého webu, dokumentu Microsoft Office, který je hostitelem renderovacího prohlížeče nebo vloženého ovládacího prvku ActiveX označeného jako "bezpečný pro inicializaci" v aplikaci pro spuštění libovolného kódu;
  4. Chyba týkající se obchvatu s příponou ACG (Arbitrary Code Guard) související s nesprávným zacházením s přístupovou pamětí v kódu, která je kompilována kompilátorem Microsoft Edge JIT (Just-In-Time), lze vzdáleně využívat prostřednictvím speciálně navržených webových stránek k vynechání bezpečnostních omezení;
  5. Nesprávné ověření a dezinfekce parametrů jazyka JavaScript v aplikaci Microsoft Edge lze vzdáleně využít tím, že přesvědčíte uživatele, že klikne na speciálně vytvořený odkaz hostovaný na škodlivém webu, aby získal oprávnění.
  6. Mnoho zranitelných míst souvisejících s nesprávnou manipulací s objekty v paměti v určitých funkcích v aplikaci Microsoft Edge lze vzdáleně využít tím, že přesvědčíte uživatele, aby si prohlížel speciálně vytvořený web pro získání citlivých informací.
  7. Nesprávné vynucování politik mezi různými doménami v aplikaci Microsoft Edge lze vzdáleně využít tím, že přesvědčíte uživatele, aby načtěl speciálně navrženou stránku nebo navštívil škodlivý web, aby obcházel bezpečnostní omezení.
  8. Nesprávné zacházení s objekty v paměti v aplikaci Microsoft Internet Explorer lze vzdáleně využít tím, že přesvědčíte uživatele, aby zobrazil speciálně vytvořenou webovou stránku pro spuštění libovolného kódu;
  9. Mnoho zranitelných míst souvisejících s nesprávnou manipulací s objekty v paměti může být vzdáleně využíváno tím, že přesvědčí uživatele, aby si prohlížel speciálně vytvořenou webovou stránku pro spuštění libovolného kódu;
  10. Nesprávná manipulace s objekty v paměti v určitých funkcích skriptovacího stroje Chakra může být vzdáleně využívána tím, že uživatel přesvědčí, aby zobrazil speciálně vytvořenou webovou stránku pro získání citlivých informací;
  11. Nesprávná manipulace s objekty v paměti v skriptovacích systémech Microsoft v aplikaci Microsoft Edge lze vzdáleně využít prostřednictvím speciálně navrženého webu, dokumentu Microsoft Office, který je hostitelem renderovacího prohlížeče nebo vloženého ovládacího prvku ActiveX označeného jako "bezpečný pro inicializaci" v aplikaci pro spuštění libovolného kódu ;
  12. Nesprávné ověření řetězců v ovlivněných scénářích lze vzdáleně využívat prostřednictvím speciálně vytvořené webové stránky pro získání citlivých informací;
  13. Mnoho zranitelných míst spojených s nesprávnou manipulací s objekty v paměti v aplikaci Microsoft Edge lze vzdáleně využít tím, že přesvědčíte uživatele, aby zobrazil speciálně vytvořenou webovou stránku pro spuštění libovolného kódu;
  14. Nesprávné zacházení s objekty v paměti v skriptovacím kódu Chakra JavaScript lze vzdáleně využít k provádění libovolného kódu.

Technické údaje

Chcete-li zneužít zranitelná místa (9) a (13), může útočník odeslat URL na škodlivý web prostřednictvím e-mailu nebo okamžité zprávy.

Využití zranitelnosti (12) umožňuje útočníkům získat citlivé údaje z paměti a případně obejít ASLR (Randomization Layout Layout).

Zasažené produkty

Microsoft Edge
Microsoft Internet Explorer verze 9 až 11

Řešení

Nainstalujte potřebné aktualizace ze sekce KB, které jsou uvedeny v systému Windows Update (Windows Update je zpravidla přístupný z ovládacího panelu)

Oficiální doporučení

CVE-2017-8503
CVE-2017-8625
CVE-2017-8634
CVE-2017-8635
CVE-2017-8636
CVE-2017-8637
CVE-2017-8638
CVE-2017-8639
CVE-2017-8640
CVE-2017-8641
CVE-2017-8642
CVE-2017-8644
CVE-2017-8645
CVE-2017-8646
CVE-2017-8647
CVE-2017-8650
CVE-2017-8651
CVE-2017-8652
CVE-2017-8653
CVE-2017-8655
CVE-2017-8656
CVE-2017-8657
CVE-2017-8659
CVE-2017-8661
CVE-2017-8662
CVE-2017-8669
CVE-2017-8670
CVE-2017-8671
CVE-2017-8672
CVE-2017-8674

Dopad
?
ACE 
[?]

OSI 
[?]

SB 
[?]

PE 
[?]
Související produkty
Microsoft Internet Explorer
Microsoft Edge
CVE-IDS
?

CVE-2017-8674
CVE-2017-8672
CVE-2017-8671
CVE-2017-8670
CVE-2017-8669
CVE-2017-8662
CVE-2017-8661
CVE-2017-8659
CVE-2017-8657
CVE-2017-8656
CVE-2017-8655
CVE-2017-8653
CVE-2017-8652
CVE-2017-8651
CVE-2017-8650
CVE-2017-8647
CVE-2017-8646
CVE-2017-8645
CVE-2017-8644
CVE-2017-8642
CVE-2017-8641
CVE-2017-8640
CVE-2017-8639
CVE-2017-8638
CVE-2017-8637
CVE-2017-8636
CVE-2017-8635
CVE-2017-8634
CVE-2017-8625
CVE-2017-8503

Oficiální doporučení Microsoft
CVE-2017-8503
CVE-2017-8625
CVE-2017-8634
CVE-2017-8635
CVE-2017-8636
CVE-2017-8637
CVE-2017-8638
CVE-2017-8639
CVE-2017-8640
CVE-2017-8641
CVE-2017-8642
CVE-2017-8644
CVE-2017-8645
CVE-2017-8646
CVE-2017-8647
CVE-2017-8650
CVE-2017-8651
CVE-2017-8652
CVE-2017-8653
CVE-2017-8655
CVE-2017-8656
CVE-2017-8657
CVE-2017-8659
CVE-2017-8661
CVE-2017-8662
CVE-2017-8669
CVE-2017-8670
CVE-2017-8671
CVE-2017-8672
CVE-2017-8674
KB seznam

4034681
4034674
4034733
4034665
4034664
4034660
4034658
4034668


Odkaz na originál