Autor: Batou | 24.7.2014 |
Sandbox je mechanizmus, který má v případě úspěšné exploitace prohlížeče za úkol zabránit nejhoršímu - aby tedy škodlivý kód způsobil paseku v systému. Zranitelnost s označením CVE-2014-2777 tak napomáhá ke zvýšení práv útočníka a posléze spustit libovolný kód v počítači.
Firma VUPEN jí objevila již na počátku roku 2011, až v letošním březnu ji však oznámila Microsoftu. Tomu pak trvalo další 3 měsíce, než vydal opravný patch. Chyba je způsobena špatnou obsluhou události při volání metody ShowSaveFileDialog().
I Microsoft si však někdy nechá něco pro sebe. Až v květnu letošního roku odhalil díru v IE8, o které však věděl půl roku předtím.
Možná se divíte zmínce o prodeji exploitů. Opravdu - společnost VUPEN se specializuje na hledání zranitelností, při úspěšném lovu pak informace formou dražeb prodávají.