Zpět na seznam aktualit     Číst komentáře (0)     Verze pro tisk

Společnost prodávající exploity si nechala v tajnosti zero-day zranitelnost Internet Exploreru po dobu neskutečných 3 let

Autor: Batou   
24.7.2014

Společnost VUPEN držela v tajnosti kritickou zranitelnost Internet Exploreru, odhalila ji až na konferenci Pwn2Own. Postihuje verze 8, 9, 10 a 11 a umožňuje vzdáleně obejít sandbox prohlížeče.


Sandbox je mechanizmus, který má v případě úspěšné exploitace prohlížeče za úkol zabránit nejhoršímu - aby tedy škodlivý kód způsobil paseku v systému. Zranitelnost s označením CVE-2014-2777 tak napomáhá ke zvýšení práv útočníka a posléze spustit libovolný kód v počítači.

Firma VUPEN jí objevila již na počátku roku 2011, až v letošním březnu ji však oznámila Microsoftu. Tomu pak trvalo další 3 měsíce, než vydal opravný patch. Chyba je způsobena špatnou obsluhou události při volání metody ShowSaveFileDialog().

I Microsoft si však někdy nechá něco pro sebe. Až v květnu letošního roku odhalil díru v IE8, o které však věděl půl roku předtím.

Možná se divíte zmínce o prodeji exploitů. Opravdu - společnost VUPEN se specializuje na hledání zranitelností, při úspěšném lovu pak informace formou dražeb prodávají.

Zdroj: http://thehackernews.com/2014/07/exploit-selling-firm-kept-i…


Social Bookmarking

     





Hodnocení/Hlasovalo: 1/3

1  2  3  4  5    
(známkování jako ve škole)