Project Zero: Erneut ungepatchter Microsoft-Bug veröffentlicht

Project Zero meint es ernst: Zum dritten Mal innerhalb weniger Monate gibt es einen Bugreport ohne Patch von Microsoft. Dieses Mal handelt es sich um einen Type-Confusion-Fehler in Internet Explorer und Edge.

Artikel veröffentlicht am ,
Microsoft hat seine Browser nicht rechtzeitig gepatcht.
Microsoft hat seine Browser nicht rechtzeitig gepatcht. (Bild: Microsoft)

Googles Projekt Zero hat erneut eine Schwachstelle in aktuellen Microsoft-Produkten veröffentlicht, ohne dass bislang ein Patch bereitsteht. Bei dem Fehler handelt es sich um eine Type-Confusion, die in aktuellen Versionen der Browser Edge und Internet Explorer 11 enthalten ist. Nachdem vor kurzem ein Fehler im Graphic Device Interface gemeldet wurde, ist dies der zweite Fehler, der öffentlich wird, nachdem Microsoft seinen monatlichen Patchday ausfallen ließ.

Stellenmarkt
  1. Mitarbeiter im Service Desk (m/w/d)
    Techniklotsen GmbH, Bielefeld
  2. Wissenschaftlicher Mitarbeiter / Wissenschaftliche Mitarbeiterin (d/m/w) am European Campus
    THD - Technische Hochschule Deggendorf, Pfarrkirchen
Detailsuche

Der Bug hat die Bezeichnung CVE-2017-0037 und wurde von Ivan Fratric von Googles Project Zero gefunden. Nach 90 Tagen ohne Patch ist die automatische Veröffentlichungsfrist abgelaufen, so dass die Details nun öffentlich sind.

Browserabsturz mit Folgen

Falsch konfigurierte Variablen können dazu führen, dass der Browser abstürzt. Unter bestimmten Umständen könnte ein Angreifer aber auch den Rax-Pointer durch Änderungen der Tabellen-Variablen manipulieren und so einen von ihm gesteuerten Pointer aktivieren.

Fratric will aktuell nicht sagen, ob und wie der Fehler durch einen Exploit auszunutzen ist. Auf der Mailingliste des Projekts schreibt er: "Ich werde dazu keine weiteren Angaben machen, jedenfalls nicht, bis der Bug behoben wurde. Der Bericht hat jetzt schon zu viele Informationen." Er habe nicht angenommen, dass dieser Bug nicht innerhalb der Deadline per Patch behoben werde.

Golem Akademie
  1. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    14.–16. März 2022, Virtuell
  2. Apache Kafka Grundlagen: virtueller Zwei-Tage-Workshop
    21.–22. März 2022, Virtuell
Weitere IT-Trainings

Project Zero wird für seine rigide Disclosure-Praxis immer wieder kritisiert. Tatsächlich hat das Team aber auch bereits einen Stagefright-Exploit für Android veröffentlicht, bevor der Mutterkonzern einen Patch bereitgestellt hat.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Fernwartung
Der Kundenansturm, der Teamviewer nicht gut getan hat

Wie schätzt man die weitere Geschäftsentwicklung ein, wenn die Kunden in der Pandemie plötzlich Panikkäufe machen? Das gelang bei Teamviewer nicht.
Ein Bericht von Achim Sawall

Fernwartung: Der Kundenansturm, der Teamviewer nicht gut getan hat
Artikel
  1. Pluton in Windows 11: Lenovo will Microsofts Sicherheitschip nicht aktivieren
    Pluton in Windows 11
    Lenovo will Microsofts Sicherheitschip nicht aktivieren

    Die neuen Windows-11-Laptops kommen mit dem Chip Pluton. Lenovo will diesen aber noch nicht selbst aktivieren.

  2. Netzneutralität: Google und Meta verteidigen sich gegen Telekom-Vorwürfe
    Netzneutralität
    Google und Meta verteidigen sich gegen Telekom-Vorwürfe

    Die beiden großen Internetkonzerne Google und Meta verweisen im Gespräch mit Golem.de auf ihren Beitrag zur weltweiten Infrastruktur wie Seekabel und Connectivity.

  3. Probefahrt mit BMW-Roller CE 04: Beam me up, BMW
    Probefahrt mit BMW-Roller CE 04
    Beam me up, BMW

    Mit futuristischem Design und elektrischem Antrieb hat BMW ein völlig neues Fahrzeug für den urbanen Bereich entwickelt.
    Ein Bericht von Peter Ilg

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 989€ • The A500 Mini Retro-Konsole mit 25 Amiga-Spielen vorbestellbar 189,90€ • RX 6800 16GB 1.129€ • Intel Core i9 3.7 459,50€ Ghz • WD Black 1TB inkl. Kühlkörper PS5-kompatibel 189,99€ • Switch: 3 für 2 Aktion • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /