Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Malvér: Emotet / Trickbot / Ryuk
Tlačové správy
18.02.2020
Mesačný prehľad za mesiac január 2020
Tlačové správy
10.02.2020
Mesačný prehľad za mesiac december 2019
Tlačové správy
16.01.2020
Zahraničné zdroje
Nahlásené incidenty
1.1.2019 - 31.12.2019
 

Graf

Internet Explorer zero-day zraniteľnosť spojená s minulotýždňovou zero-day vo Firefoxe

20.01.2020
Spoločnosť Microsoft varuje pred zero-day zraniteľnosťou v prehliadači Internet Explorer CVE-2020-0674. Ponúka a popis zmiernenia následkov, ale záplata zatiaľ neexistuje. Zraniteľnosť umožňuje vzdialené vykonávanie kódu a pravdepodobne je spojená so zero-day zraniteľnosťou CVE-2019-17026 s podobnými následkami v prehliadači Firefox. Táto bola publikovaná minulý týždeň. Najnovšia verzia prehliadača Firefox 72.0.1 už obsahuje záplatu.

 

Dôsledky
Vzdialené vykonávanie ľubovoľného kódu s právami súčasného používateľa.

Opis činnosti
CVE-2019-17026, CVE-2020-0674

V piatok 17.1.2020, spoločnosť Microsoft zverejnila bezpečnostné odporúčania k zero-day zraniteľnosti v Internet Exploreri (IE), zahŕňajúce riešenia a popis zmiernenia následkov, ktoré možno použiť na zabezpečenie zraniteľných systémov pred útokmi. Microsoft v súčasnosti pracuje na oprave, ktorá zatiaľ nebola zverejnená, nakoľko útoky spojené s touto zraniteľnosťou by mali byť zamerané na malý počet používateľov. Zraniteľnosť umožňuje vzdialené vykonávanie kódu a je spôsobená chybou poškodenia pamäte v skriptovacom nástroji, presnejšie v komponente prehliadača, ktorý narába s JavaScript kódom. Ďalší z možných vektorov útoku zahŕňa vytvorenie špeciálnej webovej stránky, navrhnutej na zneužitie zraniteľnosti v IE a následné presvedčenie používateľa na zobrazenie stránky, napríklad zaslaním phishingového emailu.

Tieto útoky boli pravdepodobne prepojené s minulotýždňovou zero-day zraniteľnosťou vo Firefoxe, nakoľko obe zraniteľnosti boli objavené a nahlásené výskumníkmi spoločnosti Qihoo 360, ktorú vytvorila spoločnosť Mozilla práve za účelom objavovania a nahlasovania zero-day zraniteľností v prehliadači Firefox. Zraniteľnosť ovplyvňuje IonMonkey, JavaScript JIT kompilátor pre SpiderMonkey, ktorý sa stará o prevádzku JavaScriptov. Zraniteľnosť bola kategorizovaná ako chyba v pamäti, kde je pamäťový vstup pôvodne alokovaný ako jeden typ, ale počas manipulácie dôjde k zmene na iný typ. To spôsobí neočakávané následky pri spracovaní dát, zahŕňajúce napríklad schopnosť vykonania škodlivého kódu na zraniteľných systémoch.

Viac informácií o zneužití zraniteľností v oboch prehliadačoch zatiaľ nebolo zverejnených.

Zraniteľné systémy
Všetky verzie Windows desktop a Windows Server
Verzie Firefox Mozilla nižšie ako 72.0.1

Závažnosť zraniteľnosti
Stredná

Možné škody
Narušenie dostupnosti systému (Dos) Vzdialené vykonávanie kódu

Odporúčania
Odporúčame aplikovať riešenia a popis zmiernenia následkov pre IE, ktoré sú zverejnené v ADV200001 alebo používať iným prehliadač, pokým nebude uverejnená opravená verzia. V prípade prehliadača Firefox, záplata existuje, je potrebné aktualizovať prehliadač na najnovšiu verziu 72.0.1.

Odkazy
https://www.zdnet.com/article/microsoft-warns-about-internet-explorer-zero-day-but-no-patch-yet/
https://www.bleepingcomputer.com/news/security/microsoft-issues-mitigation-for-actively-exploited-ie-zero-day/
https://www.zdnet.com/article/mozilla-patches-firefox-zero-day-reported-by-qihoo-360/
https://www.bleepingcomputer.com/news/security/mozilla-firefox-7201-patches-actively-exploited-zero-day/



<< zoznam oznámení