Açıklama
Microsoft Edge, Microsoft Internet Explorer 9 ile 11 arasında birden çok ciddi güvenlik açığı bulundu. Zararlı kullanıcılar, rasgele kod yürütmek, ayrıcalıklar kazanmak, güvenlik sınırlamalarını atlamak, kullanıcı arabirimini atlamak için bu güvenlik açıklarından yararlanabilir.
Aşağıda güvenlik açıklarının tam listesi:
- Microsoft Internet Explorer'da karışık içeriğin yanlış kullanımı, kötü amaçlı bir web sitesi aracılığıyla veya güvenlik kısıtlamalarını atlamak için özel olarak tasarlanmış * .url dosyasını içeren bir e-posta yoluyla uzaktan kullanılabilir.
- Microsoft Edge'de bellekteki nesnelere erişimin yanlış bir şekilde kullanılması, isteğe bağlı kod yürütmek için özel olarak tasarlanmış bir web sitesi aracılığıyla uzaktan kullanılabilir;
- Microsoft ınternet Explorer'da belleğe nesnelere erişimin ele alınmasıyla ilgili olan JavaScript Engine'deki birden fazla güvenlik açığı, isteğe bağlı kodu çalıştırmak için özel olarak tasarlanmış bir web sitesi aracılığıyla uzaktan kullanılabilir;
- JavaScript motorlarındaki nesnelerin yanlış bir şekilde işlenmesi sırasında yapılan çoklu güvenlik açıkları, özel olarak tasarlanmış web siteleri ve Microsoft belgeleri veya rasgele kod yürütmek için "başlatma için güvenli" olarak işaretlenmiş bir yerleşik ActiveX denetimi aracılığıyla uzaktan kullanılabilir;
- Microsoft Internet Explorer'da karışık içeriğin yanlış kullanımı, isteğe bağlı kod çalıştırmak için özel olarak tasarlanmış bir web sitesi aracılığıyla uzaktan kullanılabilir;
- Microsoft Edge Microsoft komut dosyalama motorları tarafından yapılan bellekteki nesnelerin yanlış bir şekilde ele alınmasıyla ilgili birden fazla güvenlik açığı, özel olarak tasarlanmış web siteleri ve Microsoft belgeleri veya rasgele kod yürütmek için "başlatma için güvenli" olarak işaretlenmiş bir yerleşik ActiveX denetimi aracılığıyla uzaktan kullanılabilir;
- HTML'nin yanlış bir şekilde ayrıştırılması ve SmartScreen Filtresinin yanlış bir şekilde oluşturulmasının, kullanıcı arabiriminin sahteciliğine yönelik özel olarak tasarlanmış bir URL aracılığıyla uzaktan yararlanılabilir;
- Microsoft Edge'deki sanal alanların yanlış bir şekilde ele alınması, AppContainer sanal alanından kurtulmak ve ayrıcalıklar kazanmak için uzaktan kullanılabilir.
- Chakra JavaScript Engine'deki birden fazla güvenlik açığı, özel olarak tasarlanmış web siteleri ve Microsoft belgeleri veya rasgele kod yürütmek için "başlatma için güvenli" olarak işaretlenmiş bir yerleşik ActiveX denetimi aracılığıyla uzaktan kullanılabilir;
- JavaScript Engine'de bellekteki nesnelerin yanlış işlenmesi, özel olarak tasarlanmış web siteleri ve Microsoft belgeleri veya "başlatma için güvenli" olarak işaretlenmiş bir yerleşik ActiveX denetimi yoluyla isteğe bağlı kod çalıştırılarak uzaktan kullanılabilir;
- Microsoft Edge'deki URL'de etki alanı olmayan bir sayfanın yanlış oluşturulması, bir kullanıcının ayrıcalıklar elde etmek ve Intranet Bölgesi bağlamında eylemler gerçekleştirmek ve bazı tarayıcı işlevlerine erişmek için özel olarak tasarlanmış bir web sayfasını ziyaret etmeye ikna ederek uzaktan kullanılabilir. İnternet Bölgesi'nin içeriğinde gezinirken kullanılamaz.
Teknik detaylar
Güvenlik açığı (1), güvenli olmayan HTTS konumlarına güvenli olmayan HTTP içeriğinin yüklenmesine izin verir.
Chakra JavaScript Engine'deki (9) güvenlik açıkları, Microsoft Edge'de oluşturma ile ilgilidir.
Yukarıda özel olarak tasarlanmış bir web sayfası aracılığıyla açıklanan tüm güvenlik açıklarından yararlanmak için, kötü niyetli bir kullanıcı kullanıcıyı bir şekilde ziyaret etmeye ikna etmelidir.
Orijinal öneriler
- CVE-2017-0241
- CVE-2017-0240
- CVE-2017-0238
- CVE-2017-0236
- CVE-2017-0235
- CVE-2017-0234
- CVE-2017-0233
- CVE-2017-0231
- CVE-2017-0230
- CVE-2017-0229
- CVE-2017-0228
- CVE-2017-0227
- CVE-2017-0226
- CVE-2017-0224
- CVE-2017-0222
- CVE-2017-0221
- CVE-2017-0064
- CVE-2017-0223
CVE Listesi
KB Listesi
Daha fazlasını okuyun
Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com