安全研究

业界动态
Google又披露了一个微软高危漏洞CVE-2017-0037 远程攻击者可执行任意代码
周一,谷歌Project Zero披露了微软Edge和Internet Explorer浏览器中的一个“高危”漏洞CVE-2017-0037 (CNNVD-201702-882)。远程攻击者可利用该漏洞执行任意代码。相关信息表明,由于尚未提供上一个已知漏洞的补丁,微软已经推迟了本月的例行补丁发布。绿盟科技发布了安全威胁通告。

最近的一个漏洞是谷歌Porject Zero研究人员(Ivan Fratric)在11月25日发现并报告给微软的。Fratric在漏洞技术报告中表示,在漏洞披露后微软未能提供修复补丁,这让他出乎意料。Fratric写道。   

“真心希望微软不要再错过发布这个漏洞补丁的截止日期了。”    

Windows Update坏掉了? 推迟安全公告和补丁更新   

本月早些时候,微软宣布将延期本月的安全公告和补丁推送。因此,另外两个已被公开披露的漏洞,虽然已有概念证明,但仍未进行补丁修复。第一个是由谷歌Project Zero报告的Window GDI库中存在的漏洞(CVE-2017-0038)。第二个是Windows SMB文件共享组件中存在的漏洞,可造成Windows 8.1和Windows 10系统崩溃。下一个“补丁星期二”的发布日期为3月14日。   

根据Project Zero政策,无论当事公司是否已提供补丁修复,从发出通知的那一刻起开始计时,谷歌将在90天后对外公布漏洞细节。   

微软高危漏洞CVE-2017-0037细节描述   

周一,Project Zero团队发现了漏洞CVE-2017-0037。这是Windows 10 Edge and Internet Explorer 11中存在的漏洞,被称为“HandleColumnBreakOnColumnSpanningElement”参数(在站点表中使用的参数)混淆漏洞。混淆漏洞是指web应用被诱骗认错对象。   

CVE数据库中对该漏洞的描述如下:   “微软Internet Explorer 11/微软Edge在实现上存在类型混淆漏洞,此漏洞位于mshtml.dll内的Layout::MultiColumnBoxBuilder::HandleColumnBreakOnColumnSpanningElement函数中。通过构造的CSS令牌序列及JS代码,远程攻击者可执行任意代码。”    

Project Zero发布了一个漏洞概念证明。然而,虽然90天的窗口期已过,Fratric表示一些细节仍未披露。“我不会对漏洞利用做进一步评论,至少在漏洞修复前不会这么做。该报告已经提供了太多的相关信息。”Fratric在报告中写道。   

根据浏览器对context rax中数据的处理方式,Project Zero还报告了如何利用此漏洞导致浏览器崩溃和影响未初始化的内存对象。   

Fratric在报告中称,  “浏览器崩溃是因为rax指向未初始化的内存对象。通过修改表格属性(如边界和第一个TH元素的宽度),攻击者可影响rax。“我的猜想是,若有两类DOM分栏:HTML表格分栏和CSS分栏,IE/Edge就会混淆不清。”    

Fratric表示,与微软补丁相比,漏洞缓解的作用有限。“在漏洞参数中增加类型检查或许有效,但是治标不治本。”Fratric在研究中注释说。   

微软上周,微软拒绝解释推迟例行补丁发布的原因。微软在博文中向TechNet解释说:   “本月,我们在最后时刻发现了一个可能影响一些客户的问题,并且没能在补丁计划推送当天修复。”    Rapid7的资深安全研究经理Tod Beardsley向Threatpost表示其从来遇到过微软在公开宣布补丁修复后又未能发布补丁的情况。   

上周,Tod Beardsley对Threatpost表示:“虽然目前可能还没有积极利用这些漏洞的活动,但时间依然紧迫。”    尽管本月推迟了例行补丁发布,微软还是修复了一些漏洞。上周,微软宣布用户可获得修复Adobe Flash Player漏洞的更新。这些漏洞可影响微软Internet Explorer和Edge浏览器,导致远程代码执行。   

Adobe公司提前一周发布了Flash更新。该更新可修复Adobe Flash Player中的漏洞。该漏洞可影响Windows、macOS和Chrome系统,导致远程代码执行。   

绿盟科技发布安全威胁通告 呼吁大家重视微软高危漏洞CVE-2017-0037   

通告全文如下   

近日,谷歌再一次曝出微软未及时修补的漏洞,漏洞编号为CNNVD-201702-882,影响IE 11和Edge浏览器,该漏洞会导致浏览器崩溃并且可能导致远程代码执行。该漏洞存在于动态链接库mshtml.dll的Layout::MultiColumnBoxBuilder::HandleColumnBreakOnColumnSpanningElement函数中,当用户浏览由攻击者精心构造的含有恶意CSS和javascript代码的页面时会触发该漏洞。由于微软未在收到漏洞通告90天内修复该漏洞,所以谷歌将其公开。   

详情请见如下链接:   

https://bugs.chromium.org/p/project-zero/issues/detail?id=1011     

受影响的版本   

该漏洞影响IE 11和Edge的最新版本。   

规避方案   

在微软发布针对该漏洞的补丁之前,建议用户在非必要的场合使用其他浏览器作为替代。   

本文由:threatpost 发布,版权归属于原作者。                        
如果转载,请注明出处及本文链接:                        
http://toutiao.secjia.com/google-disclose-ms-high-risk-vulnerabilities-cve-2017-0037
如果此文章侵权,请留言,我们进行删除。


浏览次数:

关 闭