Google još jednom izašao u javnost sa detaljima o neispravljenom bagu u Microsoftovim programima Edge i IE

Vesti, 27.02.2017, 01:30 AM

Google je još jednom, drugi put za nedelju dana, izašao u javnost sa informacijama o neispravljenom bezbednosnom propustu u Microsoftovim programima, ovoga puta o propustu u browserima Edge i Internet Explorer. Prvi put je pre nedelju dana kompanija objavila detalje o bagu u Windows GDI (Graphic Device Interface) komponenti.

Propust je neispravljen iako je Microsoft informisan o njemu zbog toga što je kompanija, iznenada, otkazala objavljivanje februarskog izdanja zakrpa, zbog "problema koji su se pojavili u poslednjem trenutku".

Ovoga puta u pitanju je bag koga je otkrio istraživač Google Project Zero tima Ivan Fratric i koji nosi oznaku CVE-2017-0037.

Ova vrsta propusta omogućava hakerima da izrše kod na ranjivom računaru i da preuzmu kontrolu nad njim.

Detalji o ovome bagu mogu se naći u Googleovom izveštaju, zajedno sa kodom koji dokazuje da se bag može koristiti u napadima. Kod Googleovog istraživača može dovesti do rušenja ranjivog browsera, ali vešti hakeri mogu napraviti mnogo opasniji exploit.

Fratric je otkrio ovaj propust krajem novembra, kada je obavestio Microsoft o svom otkriću. Microsoftu je ostavljen uobičajeni rok koji Google Project Zero ostavlja proizvođaču softvera da ispravi propust, ali je taj rok sada istekao.

U ovom trenutku se ne zna da li Microsoft namerava da ispravi ovaj propust martovskim izdanjem zakrpa.

Osim ovog baga u Edgeu i IE, Microsoft mora da ispravi još dva ozbiljna propusta, pomenuti u Windows GDI komponenti i jedan u SMB fajl šering protokolu, koji utiču na sve verzije Windowsa.

Na sreću, za sada nema izveštaja da se neki od ovih propusta koristi u hakerskim napadima.

Microsoft je saopštio da će februarske zakrpe biti isporučene korisnicima zajedno sa martovskim izdanjem zakrpa koje se očekuje 15. marta.