• IT-Karriere:
  • Services:

Project Zero: Erneut ungepatchter Microsoft-Bug veröffentlicht

Project Zero meint es ernst: Zum dritten Mal innerhalb weniger Monate gibt es einen Bugreport ohne Patch von Microsoft. Dieses Mal handelt es sich um einen Type-Confusion-Fehler in Internet Explorer und Edge.

Artikel veröffentlicht am ,
Microsoft hat seine Browser nicht rechtzeitig gepatcht.
Microsoft hat seine Browser nicht rechtzeitig gepatcht. (Bild: Microsoft)

Googles Projekt Zero hat erneut eine Schwachstelle in aktuellen Microsoft-Produkten veröffentlicht, ohne dass bislang ein Patch bereitsteht. Bei dem Fehler handelt es sich um eine Type-Confusion, die in aktuellen Versionen der Browser Edge und Internet Explorer 11 enthalten ist. Nachdem vor kurzem ein Fehler im Graphic Device Interface gemeldet wurde, ist dies der zweite Fehler, der öffentlich wird, nachdem Microsoft seinen monatlichen Patchday ausfallen ließ.

Stellenmarkt
  1. Autohaus Heisel GmbH, Merzig
  2. SARSTEDT AG & Co. KG, Nümbrecht-Rommelsdorf

Der Bug hat die Bezeichnung CVE-2017-0037 und wurde von Ivan Fratric von Googles Project Zero gefunden. Nach 90 Tagen ohne Patch ist die automatische Veröffentlichungsfrist abgelaufen, so dass die Details nun öffentlich sind.

Browserabsturz mit Folgen

Falsch konfigurierte Variablen können dazu führen, dass der Browser abstürzt. Unter bestimmten Umständen könnte ein Angreifer aber auch den Rax-Pointer durch Änderungen der Tabellen-Variablen manipulieren und so einen von ihm gesteuerten Pointer aktivieren.

Fratric will aktuell nicht sagen, ob und wie der Fehler durch einen Exploit auszunutzen ist. Auf der Mailingliste des Projekts schreibt er: "Ich werde dazu keine weiteren Angaben machen, jedenfalls nicht, bis der Bug behoben wurde. Der Bericht hat jetzt schon zu viele Informationen." Er habe nicht angenommen, dass dieser Bug nicht innerhalb der Deadline per Patch behoben werde.

Project Zero wird für seine rigide Disclosure-Praxis immer wieder kritisiert. Tatsächlich hat das Team aber auch bereits einen Stagefright-Exploit für Android veröffentlicht, bevor der Mutterkonzern einen Patch bereitgestellt hat.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • ohne Tracking
  • mit ausgeschaltetem Javascript


Anzeige
Hardware-Angebote

1ras 28. Feb 2017

Das Wort "Endkunden" kommt im Thread bisher nicht einmal vor... Ich würde an deiner...

Salzbretzel 28. Feb 2017

Zwecks dem Handy rooten oder auch nur ein Custom Rom zu nutzen. Beim ersten mal hat es...

ocm 27. Feb 2017

Boa, bin ich froh, dass du uns das mitgeteilt hast, User mit dem Namen "Werbung ist schei...


Folgen Sie uns
       


iPhone 11 - Test

Das iPhone 11 ist das günstigste der drei neuen iPhone-Modelle - kostet aber immer noch mindestens 850 Euro. Dafür müssen Nutzer kaum Kompromisse bei der Kamera machen - das Display finden wir aber wie beim iPhone Xr antiquiert.

iPhone 11 - Test Video aufrufen
Kognitive Produktionssteuerung: Auf der Suche nach dem Universalroboter
Kognitive Produktionssteuerung
Auf der Suche nach dem Universalroboter

Roboter erledigen am Band jetzt schon viele Arbeiten. Allerdings müssen sie oft noch von Menschen kontrolliert und ihre Fehler ausgebessert werden. Wissenschaftler arbeiten daran, dass das in Zukunft nicht mehr so ist. Ziel ist ein selbstständig lernender Roboter für die Automobilindustrie.
Ein Bericht von Friedrich List

  1. Ocean Discovery X Prize Autonome Fraunhofer-Roboter erforschen die Tiefsee

Mobilität: Überlasten zu viele Elektroautos die Stromnetze?
Mobilität
Überlasten zu viele Elektroautos die Stromnetze?

Wenn sich Elektroautos durchsetzen, werden die Stromnetze gefordert sein. Ein Netzbetreiber in Baden-Württemberg hat in einem Straßenzug getestet, welche Auswirkungen das haben kann.
Ein Interview von Daniela Becker

  1. Autogipfel Regierung will Kaufprämie auf 6.000 Euro erhöhen
  2. Tesla im Langstrecken-Test Einmal Nordkap und zurück
  3. Elektroauto Mazda MX-30 öffnet Türen wie der BMW i3

Amazon Echo Studio im Test: Homepod-Bezwinger begeistert auch als Fire-TV-Lautsprecher
Amazon Echo Studio im Test
Homepod-Bezwinger begeistert auch als Fire-TV-Lautsprecher

Mit dem Echo Studio bringt Amazon seinen teuersten Alexa-Lautsprecher auf den Markt. Dennoch ist er deutlich günstiger als Apples Homepod, liefert aber einen besseren Klang. Und das ist längst nicht alles.
Ein Test von Ingo Pakalski

  1. Amazons Heimkino-Funktion Echo-Lautsprecher drahtlos mit Fire-TV-Geräten verbinden
  2. Echo Flex Amazons preiswertester Alexa-Lautsprecher
  3. Amazons Alexa-Lautsprecher Echo Dot hat ein LED-Display - Echo soll besser klingen

    •  /