zurück
Mär
01
2017

Project Zero: Neue Microsoft-Sicherheitslücke

Googles Project Zero hat einen neuen Treffer gelandet: Es wurde wurde wieder eine Sicherheitslücke in Microsoft-Software aufgedeckt, die noch nicht gepatcht wurde. Diesmal dreht sich alles um einen Type-Confusion-Fehler, der sowohl im Internet Explorer als auch Edge auftaucht. Er trägt die Bezeichnung CVE-2017-0037 und wurde nach 90 Tagen ohne Patch seitens Microsoft vom Project Zero veröffentlicht.  

Die Sicherheitslücke besteht darin, dass ein Absturz des Browsers durch eventuell fehlerhaft konfigurierte Variablen herbeigeführt werden könnte. Es wäre sogar teilweise möglich, dass Hacker den Rax-Pointer verändern, indem sie die Tabellen-Variablen manipulieren. Somit könnten die Hacker Kontrolle über einen von ihnen aktivierten Pointer erhalten. Nähere Informationen dazu wollten die Project Zero-Mitarbeiter jedoch nicht nennen, da sie der Meinung sind, dass schon genügend Einzelheiten darüber veröffentlicht wurden. Hoffen wir, dass Microsoft bald einen Patch bereitstellt und die Sicherheitslücke endgültig schließt, damit die Systeme der Nutzer wieder geschützt sind. 

Google, Microsoft, Project Zero