Google tiếp tục công bố lỗ hổng chưa được vá trong Microsoft Edge và IE

Google tiếp tục công bố một lỗ hổng khác trên trình duyệt web của Windows vì Microsoft không hoàn thành việc xử lý trong thời hạn 90 ngày.

Lỗ hổng (CVE-2017-0037), được phát hiện và công bố bởi thành viên nhóm nghiên cứu Google Project Zero – ông Ivan Fratric. Lỗ hổng nằm trong mô đun Microsoft Edge và Internet Explorer có thể dẫn tới thực thi mã tùy ý.

Bản chứng minh PoC đã được công bố!

Vào thời điểm hiện tại, cùng với chi tiết về lỗ hổng thực thi mã tùy ý, Fratric còn công bố cả bản chứng minh khai thác gây treo Microsoft Edge và IE, mở đường cho tin tặc thực thi mã độc và chiếm quyền quản trị trên hệ thống.

Fratric cho biết ông đã khai thác thành công phiên bản IE 64-bit trên Windows Server 2012 R2. Nhưng lỗ hổng tồn tại trên cả phiên bản IE 32-bit và Microsoft Edge. Người dùng hệ điều hành Windows 7, Windows 8.1 và Windows 10 đều bị ảnh hưởng.

Chi tiết về lỗ hổng được đăng tải trên blog của Google. Nó được báo cáo tới Microsoft vào 25/11/2016 và được công bố vào 25/2/2017 theo đúng chính xác của Google.

3 lỗ hổng chưa được vá !

Microsoft đã tạm hoãn bản cập nhật định kì Patch Tuesday để có thể xử lý 2 lỗ hổng được công bố trước đó. Việc mã khai thác đã được công bố giúp tin tặc dễ dàng tấn công người dùng Windows hơn bao giờ hết.

Người dùng Windows được khuyến cáo thay thế trình duyệt Internet Explorer và Egde bằng các trình duyệt khác và không nhấn vào đường dẫn đáng ngờ.

THN