Google продолжает раскрывать данные об уязвимостях до выхода патчей
Компания Google в очередной раз раскрыла информацию об уязвимости до релиза соответствующего обновления безопасности. На прошлой неделе специалисты команды Google Project Zero обнародовали данные о проблеме в компоненте Windows GDI (Graphics Device Interface), затрагивающей библиотеку gdi32.dll, а в этот раз опубликовали информацию об уязвимости в браузерах Microsoft Edge и Internet Explorer.
Речь идет о проблеме типа type confusion (путаница типов данных) в модуле Edge и IE, позволяющей удалено выполнить код. Уязвимость, получившая идентификатор CVE-2017-0037, затрагивает версии Windows 7, Windows 8.1 и Windows 10. Это уже третья уязвимость в Windows, обнародованная Google за последний месяц.
Помимо подробностей о проблеме, специалист Google Айван Фратрик (Ivan Fratric) также опубликовал PoC-эксплоит, позволяющий вызвать отказ в обслуживании Microsoft Edge и Internet Explorer, выполнить произвольный код и получить права администратора на целевой системе. Фратрик успешно опробовал эксплоит на 64-разрядной версии IE в Windows Server 2012 R2. По его словам, атака также затрагивает 32-битные версии IE 11 и Microsoft Edge.
Напомним, ранее Microsoft отложила выпуск февральских обновлений безопасности в связи с проблемой, обнаруженной в последние минуты перед релизом.