ZDI veröffentlicht vier 0-Day-Schwachstellen im Internet Explorer
Die Zero Day Initiative (ZDI) hat vier 0-Day-Schwachstellen im Internet Explorer veröffentlicht. Das passiert automatisch 120 Tage, nachdem die Schwachstelle den betreffenden Hersteller gemeldet wurde, sofern die Schwachstelle nicht zuvor gepatcht wurde. Microsoft hat diese Frist sowie eine zugestandene Verlängerung bei diesen vier Schwachstellen ungenutzt verstreichen lassen:
Update 24. Juli:
ZDI hat die Advisories gestern
überarbeitet:
Es ist nur die Mobile-Version des IE betroffen und nicht wie ursprünglich
gemeldet auch die Desktop-Version. In der hat Microsoft die Schwachstellen
bereits behoben.
Ende des Updates
- ZDI-15-359:
Ein im Rahmen des Wettbewerbs "Mobile Pwn2Own" entdeckter
Out-Of-Bounds-Speicherzugriff in der Funktion
CTableLayout::AddRow
erlaubt die Ausführung beliebigen Codes. - ZDI-15-360:
Eine Use-after-Free-Schwachstelle in
CAttrArray
erlaubt die Ausführung beliebigen Codes. - ZDI-15-361:
Eine Use-after-Free-Schwachstelle in
CCurrentStyle
erlaubt die Ausführung beliebigen Codes. - ZDI-15-362:
Eine Use-after-Free-Schwachstelle in
CTreePos
erlaubt die Ausführung beliebigen Codes.
Weitere Informationen sind bisher nicht bekannt, auch die CVE-IDs der Schwachstellen wurden noch nicht veröffentlicht.
Es gibt bisher auch weder öffentliche Proof-of-Concepts für die Schwachstellen noch Angriffe darauf. Was sich aber durchaus schnell ändern kann, nachdem nun bekannt ist, wo sich die Suche nach Schwachstellen lohnt. Andererseits sind die Schwachstellen Microsoft bekannt und Patches in Arbeit, sollte es also zu Angriffen kommen dürften Workarounds und Patches nicht lange auf sich warten lassen.
Trackbacks