В Google Project Zero обнаружена незащищенная уязвимость Microsoft Edge и IE

И разработчики программного обеспечения, и пользователи компьютеров серьезно обеспокоены ростом числа кибератак. Пользователи домашних ПК, малый бизнес и даже огромные компании потеряли миллионы долларов после того, как их компьютеры были захвачены вирусами-вымогателями, такими как Cryptolocker, FBI, Ukash, Locky и многими другими. Хотя атаки программ-вымогателей являются наиболее серьезными, существует множество других методов, которые хакеры используют для получения прибыли путем шантажа людей. Технические гиганты, в том числе Microsoft, всегда прилагали все усилия, чтобы обеспечить защиту пользователей, но, очевидно, среди хакеров есть сотни профессиональных программистов, которым удается использовать наименьшую безопасность уязвимости. Это постоянная проблема, которая широко обсуждается в Интернете, и принимаются различные меры, чтобы не дать хакерам обмануть людей.

Недавно Microsoft попала в незавидную ситуацию после того, как исследовательская группа Google Project Zero обнаружил серьезную уязвимость в веб-браузерах Microsoft Edge и Internet Explorer в конце ноября. 2016. Уязвимость (обозначенная как CVE-2017-0038) известна как ошибка смешения типов, которая возникает из-за файла HTML, в котором JavaScript переформатирует свойства таблицы стилей HTML-таблицы. Следовательно, возникает путаница в типах, вызывающая лазейку в безопасности веб-браузера. Как указано в Национальной базе данных уязвимостей, эта ошибка «позволяет удаленным злоумышленникам выполнять произвольный код с помощью векторов. с использованием созданной последовательности токенов каскадных таблиц стилей (CSS) и созданного кода JavaScript, который работает с [table-header] элемент."

Project Zero проинформировал Microsoft об уязвимости IE / Edge 25 ноября 2016 года и дал 90 дней на выпуск исправления. В противном случае Project Zero раскроет подробности уязвимости публично. Microsoft признала наличие проблемы и, как мы полагаем, упорно работала над ее устранением, хотя и напрасно. Ожидалось, что исправление будет выпущено во вторник февральского патча, который, к сожалению, был отменен по неизвестным пока причинам. Обычный вторник патчей запланирован только на март. До тех пор, пока Microsoft не выпустит патч, эксперты по безопасности рекомендуют людям принимать меры предосторожности и полагаться на Google Chrome (64-разрядная версия) вместо Edge или IE. Кроме того, переход на Windows 10 с более ранних версий также является весьма желательной мерой предосторожности.

Еще один острый вопрос, связанный с ошибкой Microsoft Edge и IE: следует ли людям доверять сторонним патчам или нет. Acros Security представила временный патч для уязвимости Internet Explorer и Edge Type Confusion, который может предотвратить выполнение вредоносных кодов. Acros Security направлен на устранение незащищенных уязвимостей, продуктов с истекшим сроком эксплуатации и неподдерживаемых продуктов, уязвимого стороннего программного обеспечения и т. Д. Следует отметить, что этот патч применим для большинства эксплуатируемых уязвимостей (например, строки формата, двоичная установка, внедрение DLL, непроверенные буферы, исправление данных и т. Д.). Тем не менее Microsoft не рекомендует пользователям Windows доверять сторонним патчам. При этом разработчики Acros Security 0patch заявляют, что патч отменяется, как только пользователь устанавливает официальный патч, выпущенный поставщиком ОС. Однако, по словам специалиста по безопасности Криса Геттла, «после того, как Microsoft выпустит исправление, будет ли оно установлено поверх изменений из 0Patch? Если возникают какие-либо проблемы, пользователь \ компания остается в серой зоне ». Поэтому, чтобы получить полную поддержку и все доступных исправлений от Microsoft, вам лучше не позволять третьим лицам изменять компоненты Microsoft в каких-либо способ.