Технологический гигант Google в очередной раз раскрыл информацию об уязвимостях в продуктах Microsoft до выхода соответствующих обновлений безопасности.
На прошлой неделе эксперты команды Google Project Zero сообщили о проблеме в компоненте Windows GDI (Graphics Device Interface), которая затрагивает библиотеку gdi32.dll. В этот раз они рассказали об уязвимости в браузерах Microsoft Edge и Internet Explorer.
Речь идет о проблеме типа type confusion (путаница типов данных) в модуле Edge и IE, позволяющей удалено выполнить код. Уязвимость под идентификатором CVE-2017-0037 затрагивает версии Windows 7, Windows 8.1 и Windows 10. Примечательно, что это уже третья уязвимость в Windows, обнародованная Google в течение одного месяца.
Кроме подробностей о проблеме, специалист Google Айван Фратрик опубликовал и PoC-эксплоит, позволяющий вызвать отказ в обслуживании Microsoft Edge и Internet Explorer, выполнить произвольный код, а также получить права администратора на целевой системе. Эксперт успешно опробовал эксплоит на 64-разрядной версии IE в Windows Server 2012 R2. По его утверждению, атака так же затрагивает 32-битные версии IE 11 и Microsoft Edge.
Источник http://www.securitylab.ru/