Autor: .cCuMiNn. | 23.5.2014 |
Microsoft byl společností ZDI na chybu nalezenou Peterem 'corelanc0d3r' Van Eeckhouttem upozorněn již v říjnu loňského roku. Microsoft na oznámení reagoval až v únoru 2014 s tím, že výskyt zranitelnosti potvrdil. Nevydal ovšem žádnou opravu a dokonce ani nezveřejnil žádné informace.
Společnost ZDI se proto po uplynutí 180-ti dní od upozornění rozhodla veřejně promluvit, přičemž dopředu o této skutečnosti informovala Microsoft. Ten zdá se, stále nereaguje...
Chybu lze zneužít pro spuštění libovolného kódu skrz CMarkup objekty, přičemž se kód spustí se stejnými právy, pod kterými běží Internet Explorer. Jako vždy proto připomínáme, že nejsnažší cesta ke zmírnění dopadů podobných útoků, je práce pod jiným než administrátorským účtem.