Project Zero: Erneut ungepatchter Microsoft-Bug veröffentlicht
Googles Projekt Zero hat erneut eine Schwachstelle in aktuellen Microsoft-Produkten veröffentlicht(öffnet im neuen Fenster) , ohne dass bislang ein Patch bereitsteht. Bei dem Fehler handelt es sich um eine Type-Confusion, die in aktuellen Versionen der Browser Edge und Internet Explorer 11 enthalten ist. Nachdem vor kurzem ein Fehler im Graphic Device Interface gemeldet wurde, ist dies der zweite Fehler, der öffentlich wird, nachdem Microsoft seinen monatlichen Patchday ausfallen ließ.
Der Bug hat die Bezeichnung CVE-2017-0037 und wurde von Ivan Fratric von Googles Project Zero gefunden. Nach 90 Tagen ohne Patch ist die automatische Veröffentlichungsfrist abgelaufen, so dass die Details nun öffentlich sind.
Browserabsturz mit Folgen
Falsch konfigurierte Variablen können dazu führen, dass der Browser abstürzt. Unter bestimmten Umständen könnte ein Angreifer aber auch den Rax-Pointer durch Änderungen der Tabellen-Variablen manipulieren und so einen von ihm gesteuerten Pointer aktivieren.
Fratric will aktuell nicht sagen, ob und wie der Fehler durch einen Exploit auszunutzen ist. Auf der Mailingliste des Projekts schreibt er: "Ich werde dazu keine weiteren Angaben machen, jedenfalls nicht, bis der Bug behoben wurde. Der Bericht hat jetzt schon zu viele Informationen." Er habe nicht angenommen, dass dieser Bug nicht innerhalb der Deadline per Patch behoben werde.
Project Zero wird für seine rigide Disclosure-Praxis immer wieder kritisiert. Tatsächlich hat das Team aber auch bereits einen Stagefright-Exploit für Android veröffentlicht, bevor der Mutterkonzern einen Patch bereitgestellt hat.