Abo
  • Services:

Project Zero: Erneut ungepatchter Microsoft-Bug veröffentlicht

Project Zero meint es ernst: Zum dritten Mal innerhalb weniger Monate gibt es einen Bugreport ohne Patch von Microsoft. Dieses Mal handelt es sich um einen Type-Confusion-Fehler in Internet Explorer und Edge.

Artikel veröffentlicht am ,
Microsoft hat seine Browser nicht rechtzeitig gepatcht.
Microsoft hat seine Browser nicht rechtzeitig gepatcht. (Bild: Microsoft)

Googles Projekt Zero hat erneut eine Schwachstelle in aktuellen Microsoft-Produkten veröffentlicht, ohne dass bislang ein Patch bereitsteht. Bei dem Fehler handelt es sich um eine Type-Confusion, die in aktuellen Versionen der Browser Edge und Internet Explorer 11 enthalten ist. Nachdem vor kurzem ein Fehler im Graphic Device Interface gemeldet wurde, ist dies der zweite Fehler, der öffentlich wird, nachdem Microsoft seinen monatlichen Patchday ausfallen ließ.

Stellenmarkt
  1. M-net Telekommunikations GmbH, Nürnberg, Augsburg, München
  2. Lufthansa Industry Solutions TS GmbH, Oldenburg

Der Bug hat die Bezeichnung CVE-2017-0037 und wurde von Ivan Fratric von Googles Project Zero gefunden. Nach 90 Tagen ohne Patch ist die automatische Veröffentlichungsfrist abgelaufen, so dass die Details nun öffentlich sind.

Browserabsturz mit Folgen

Falsch konfigurierte Variablen können dazu führen, dass der Browser abstürzt. Unter bestimmten Umständen könnte ein Angreifer aber auch den Rax-Pointer durch Änderungen der Tabellen-Variablen manipulieren und so einen von ihm gesteuerten Pointer aktivieren.

Fratric will aktuell nicht sagen, ob und wie der Fehler durch einen Exploit auszunutzen ist. Auf der Mailingliste des Projekts schreibt er: "Ich werde dazu keine weiteren Angaben machen, jedenfalls nicht, bis der Bug behoben wurde. Der Bericht hat jetzt schon zu viele Informationen." Er habe nicht angenommen, dass dieser Bug nicht innerhalb der Deadline per Patch behoben werde.

Project Zero wird für seine rigide Disclosure-Praxis immer wieder kritisiert. Tatsächlich hat das Team aber auch bereits einen Stagefright-Exploit für Android veröffentlicht, bevor der Mutterkonzern einen Patch bereitgestellt hat.



Anzeige
Hardware-Angebote
  1. auf ausgewählte Corsair-Netzteile
  2. und 20€ Steam-Guthaben geschenkt bekommen

1ras 28. Feb 2017

Das Wort "Endkunden" kommt im Thread bisher nicht einmal vor... Ich würde an deiner...

Salzbretzel 28. Feb 2017

Zwecks dem Handy rooten oder auch nur ein Custom Rom zu nutzen. Beim ersten mal hat es...

ocm 27. Feb 2017

Boa, bin ich froh, dass du uns das mitgeteilt hast, User mit dem Namen "Werbung ist schei...


Folgen Sie uns
       


Saugen oder Glitzern in Vampyr - Livestream

Es geht hoch her in London anno 1918, wie die Golem.de-Redakteure Christoph und Michael am eigenen, nach Blut lächzenden Körper erfahren.

Saugen oder Glitzern in Vampyr - Livestream Video aufrufen
Krankenversicherung: Der Papierkrieg geht weiter
Krankenversicherung
Der Papierkrieg geht weiter

Die Krankenversicherung der Zukunft wird digital und direkt, aber eine tiefgreifende Disruption des Gesundheitswesens à la Amazon wird in Deutschland wohl ausbleiben. Die Beharrungskräfte sind zu groß.
Eine Analyse von Daniel Fallenstein

  1. Imagen Tech KI-System Osteodetect erkennt Knochenbrüche
  2. Medizintechnik Implantat wird per Ultraschall programmiert
  3. Telemedizin Neue Patienten für die Onlinepraxis

Windenergie: Wie umweltfreundlich sind Offshore-Windparks?
Windenergie
Wie umweltfreundlich sind Offshore-Windparks?

Windturbinen auf hoher See liefern verlässlich grünen Strom. Frei von Umwelteinflüssen sind sie aber nicht. Während die eine Tierart profitiert, leidet die andere. Doch Abhilfe ist in Sicht.
Ein Bericht von Daniel Hautmann

  1. Hywind Scotland Windkraft Ahoi

Hasskommentare: Wie würde es im Netz aussehen, wenn es uns nicht gäbe?
Hasskommentare
"Wie würde es im Netz aussehen, wenn es uns nicht gäbe?"

Hannes Ley hat vor rund anderthalb Jahren die Online-Initiative #ichbinhier gegründet. Die Facebook-Gruppe schreibt Erwiderungen auf Hasskommentare und hat mittlerweile knapp 40.000 Mitglieder. Im Interview mit Golem.de erklärt Ley, wie er die Idee aus dem Netz in die echte Welt bringen will.
Ein Interview von Jennifer Fraczek

  1. Nutzungsrechte Einbetten von Fotos muss nicht verhindert werden
  2. Bundesnetzagentur UKW-Abschaltung abgewendet
  3. Drupalgeddon 2 115.000 Webseiten mit Drupallücken übernommen

    •  /