Гоогле-ов пројекат Зеро пропушта незакрпљену рањивост Мицрософт Едге и ИЕ

И програмери софтвера и корисници рачунара озбиљно су забринути због све већег броја сајбер напада. Корисници кућних рачунара, мала предузећа, па чак и велике компаније изгубили су милионе долара након што су њихове рачунаре отели вируси рансомваре-а, као што су Цриптолоцкер, ФБИ, Укасх, Лоцки и многи други. Иако су напади рансомваре-а најтежи, постоји много других метода које хакери користе да остваре профит уцењујући људе. Технолошки гиганти, укључујући Мицрософт, одувек су напорно радили да осигурају заштиту корисника, али очигледно, међу хакерима постоје стотине професионалних програмера који успевају да искористе и најмању сигурност рањивости. Ово је стална тема о којој се нашироко расправља на Интернету и предузимају се разне мере да се хакери спрече да преваре људе.

Недавно је Мицрософт запао у незавидну ситуацију након истраживачког тима за безбедност Гоогле Пројецт Зеро је крајем новембра открио озбиљну рањивост у веб прегледачима Мицрософт Едге и Интернет Екплорер 2016. Рањивост (индексирана као ЦВЕ-2017-0038) је позната као грешка за забуну типова, која потиче од ХТМЛ датотеке у којој ЈаваСцрипт реформише својства СтилеСхеета ХТМЛ табеле. Сходно томе, долази до забуне у типу који узрокује безбедносну рупу веб претраживача. Како је истакла Национална база података о рањивости, ова грешка „омогућава удаљеним нападачима да извршавају произвољни код преко вектора који укључује креирану секвенцу токена каскадне табеле стилова (ЦСС) и направљен ЈаваСцрипт код који ради на [табелу-заглавље] елемент.”

Пројецт Зеро је обавестио Мицрософт о грешци ИЕ/Едге 25. новембра 2016. и дао 90 дана да објави закрпу. У супротном, Пројецт Зеро ће јавно открити детаље о рањивости. Мајкрософт је признао проблем и верујемо да је напорно радио да поправи пукотину, иако узалуд. Очекивало се да ће поправка бити објављена са фебруарском закрпом у уторак, која је, нажалост, отказана из још непознатих разлога. Уобичајени патцх уторак је заказан само за март. Све док Мицрософт не објави закрпу, стручњаци за безбедност препоручују људима да предузму мере предострожности и да се ослоне на Гоогле Цхроме (64-битна верзија) уместо на Едге или ИЕ. Осим тога, прелазак на Виндовс 10 са ранијих верзија је такође веома препоручљива мера предострожности коју треба предузети.

Још једно жестоко питање у вези са Мицрософтовом грешком Едге и ИЕ је да ли људи треба да верују закрпама трећих страна или не. Ацрос Сецурити је представио привремену закрпу за рањивост Интернет Екплорер-а и Едге Типе Цонфусион, која може спречити извршавање злонамерних кодова. Ацрос Сецурити је усмерен на незакрпљене рањивости, производе на крају животног века и неподржане производе, рањиви софтвер трећих страна и слично. Истиче се да је ова закрпа применљива на већину рањивости које се могу искористити (нпр. стрингови формата, бинарно постављање, ДЛЛ ињекције, непроверени бафери, закрпе података итд.). Ипак, Мицрософт не препоручује корисницима Виндовс-а да верују закрпама трећих страна. Док програмери Ацрос Сецурити 0патцх-а тврде да је закрпа отказана чим корисник инсталира званичну закрпу коју је издао произвођач ОС-а. Међутим, према професионалцу за безбедност Крису Гоетлу, „Када Мицрософт објави исправку, да ли ће се инсталирати преко промена из 0Патцх-а? Ако дође до било каквих проблема, корисник\компанија остаје у сивој зони." Дакле, да добијем пуну подршку и све доступних поправки од Мицрософта, боље је да не дозволите трећим странама да мењају Мицрософтове компоненте ни у ком случају начин.