Googles Project Zero Leaks a Unpatched Microsoft Edge och IE Vulnerability

Både mjukvaruutvecklare och datoranvändare är allvarligt oroade över ett ökande antal cyberattacker. Hem-PC-användare, småföretag och till och med stora företag förlorade miljontals dollar efter att deras datorer kapades av ransomware-virus, som Cryptolocker, FBI, Ukash, Locky och många andra. Även om ransomware-attacker är de allvarligaste, finns det massor av andra metoder som hackare använder för att tjäna pengar genom att utpressa människor. Tekniska jättar, inklusive Microsoft, har alltid arbetat hårt för att säkerställa användarnas skydd, men tydligen, Det finns hundratals professionella programmerare bland hackare som lyckas utnyttja minsta möjliga säkerhet sårbarheter. Detta är en pågående fråga, som diskuteras flitigt på Internet och olika åtgärder vidtas för att stoppa hackare från att lura människor.

Nyligen har Microsoft hamnat i en föga avundsvärd situation efter Googles säkerhetsforskningsteam Project Zero har avslöjat en allvarlig sårbarhet i Microsofts webbläsare Edge och Internet Explorer i slutet av november 2016. Sårbarheten (indexerad som CVE-2017-0038) är känd som en typförvirringsbugg, som härrör från HTML-fil där JavaScript omformaterar StyleSheet-egenskaperna för en HTML-tabell. Följaktligen uppstår typförvirringen som orsakar webbläsarens kryphål i säkerheten. Som National Vulnerability Database påpekade tillåter denna bugg "fjärrangripare att exekvera godtycklig kod via vektorer som involverar en skapad Cascading Style Sheets (CSS) token-sekvens och skapad JavaScript-kod som fungerar på en [tabellhuvud] element."

Project Zero informerade Microsoft om IE/Edge-felet den 25 november 2016 och gav 90 dagar på sig att släppa patchen. Annars kommer Project Zero att avslöja sårbarhetsdetaljer offentligt. Microsoft har erkänt problemet och, vi tror, ​​arbetade hårt för att fixa sprickan, men förgäves. Det förväntades att fixen kommer att släppas med februaris patchtisdag, som tyvärr har avbrutits på grund av ännu okända anledningar. Den vanliga Patch Tuesday är endast planerad till mars. Fram tills Microsoft släpper patchen rekommenderar säkerhetsexperter människor att vidta försiktighetsåtgärder och förlita sig på Google Chrome (64-bitarsversion) istället för Edge eller IE. Att byta till Windows 10 från tidigare versioner är dessutom en mycket lämplig försiktighetsåtgärd att vidta.

En annan hetsig fråga relaterad till Microsofts Edge och IE-bugg är om folk ska lita på tredjepartspatchar eller inte. Acros Security har avslöjat en tillfällig patch för en Internet Explorer och Edge Type Confusion Vulnerability, som kan förhindra exekvering av skadliga koder. Acros Security är inriktat på oparpade sårbarheter, uttjänta produkter och produkter som inte stöds, sårbar programvara från tredje part och liknande. Det påpekas att denna korrigeringsfil är tillämpbar för de flesta av de exploaterbara sårbarheterna (t.ex. formatsträngar, binär plantering, DLL-injektioner, okontrollerade buffertar, datakorrigering, etc.). Trots det rekommenderar Microsoft inte Windows-användare att lita på tredjepartskorrigeringar. Medan utvecklarna av Acros Security 0patch hävdar att patchen avbröts så snart användaren installerar den officiella patchen som släppts av OS-leverantören. Men enligt säkerhetsproffs Chris Goettl, "När Microsoft väl släpper en fix kommer den att installeras ovanpå ändringarna från 0Patch? Om några problem uppstår lämnar det användaren\företaget i ett grått område." Därför för att få fullt stöd och allt tillgängliga korrigeringar från Microsoft, bör du inte tillåta tredje part att modifiera Microsofts komponenter i någon sätt.