Érdekes hónap volt a február a kiberbiztonsági kutatók számára: a Google sikeresen megtörte az SHA1-t és feltárta a Cloudflow hibát a Cloudflare-ben, ami érzékeny információkat szivárogtatott ki a Cloudflare-t használó webhelyekről. Ezen felül nyilvánosságra hozta azt a Windows Graphics Device Interface (GDI) könyvtárban talált sebezhetőséget, ami a Microsoft Windows operációs rendszerét érinti – köztük a Windows Vista Service Pack 2 és a legújabb Windows 10-et.
A keresőóriás ma nyilvánosságra hozott egy másik Windows hibát, mivel a Microsoft nem javította azt a 90 napos “disclosure” határidőn belül. A Project Zero csapat kutatója, Ivan Fratric fedezte fel és hozta nyilvánosságra a sérülékenységet (CVE-2017-0037), ami egy úgynevezett “type confusion flaw” típusú sebezhetőségre épül a Microsoft Edge és az Internet Explorer egy moduljában, ami tetszőleges kódvégrehajtáshoz vezethet.
Proof-of-Concept kód is érkezett a Google-től
A tetszőleges kódfuttatás lehetővé tévő hiba részleteivel a kutató olyan sérülékenység-kihasználási koncepciót is közzétett, amivel megnyitja az esetleges hackerek számára a lehetőséget a kód végrehajtására és esetleges rendszergazdai jogosultságok megszerzésére az érintett rendszereken.
A biztonsági résta Microsoftnak november 25-én jelentették, és a Google Project Zero 90 napos nyilvánosságra hozatali politikája után február 25-én hozták nyilvánosságra.
Comments are closed.