Uma empresa de segurança da informação Francês VUPEN recentemente divulgou que segurava um Internet Explorer (IE) vulnerabilidade grave por pelo menos três anos antes de revelá-lo em o hacker Pwn2Own.
A vulnerabilidade crítica zero-day afeta versões 8, 9, 10 e 11 de navegador Internet Explorer que permitiu que os atacantes para contornar remotamente o sandbox Modo Protegido do IE afetadas. Um atacante pode explorar essa questão para ganhar privilégios elevados.
Cronograma de Vulnerabilidades do Internet Explorer
De acordo com a divulgação feita pela empresa de segurança na semana passada, a vulnerabilidade com ID CVE-2014-2777 foi descoberto pela empresa em 12 de fevereiro de 2011, que foi corrigida pela Microsoft no mês passado.
12 fevereiro de 2011 - IE Zero-day descoberto por Vupen.
13 de março, 2014 - Vupen relatado à Microsoft.
11 de junho de 2014 - A Microsoft lançou patches e foi publicamente divulgado a assessoria.
Sandbox é um mecanismo de segurança utilizado para executar um aplicativo em um ambiente restrito. Se um atacante é capaz de explorar o navegador de uma forma que lhe permite executar código arbitrário na máquina, o sandbox ajudaria a evitar este código de causar danos ao sistema. Assim, se os atacantes são capazes de ignorar o mecanismo de sandbox, que poderia executar código malicioso na máquina da vítima.
"A vulnerabilidade é causada devido a um manuseio inválido de uma seqüência de ações voltadas para salvar um arquivo ao chamar 'ShowSaveFileDialog ()', que pode ser explorada por um processo de modo seguro para gravar arquivos em locais arbitrários no sistema e desvio IE Modo Protegido sandbox ", escreveu a empresa.
Bazar de Exploit's Zero-day
A especialidade da VUPEN está na descoberta de vulnerabilidades de dia zero em software de grandes produtores, a fim de vender os exploits para o maior lance, geralmente para a aplicação da lei e as agências de inteligência do governo, e Zero Day Initiative da HP.
VUPEN também explorou vários alvos incluindo Chrome, Adobe Flash e Adobe Reader e do Microsoft Internet Explorer, levando para casa $ 400000 do pagamento total do concurso.
Microsoft também manteve algo escondido
Microsoft também manteve escondido uma vulnerabilidade Zero-Day crítica do Internet Explorer 8 a partir de todos nós, desde outubro de 2013, o que era um código remoto falha de execução zero day que afetou a versão do Internet Explorer 8 e permitiu a um atacante remoto para executar código arbitrário através de um bug em objetos CMarkup.
Agora, surge a pergunta - Será que a Microsoft manter estes vulnerabilidade crítica escondido em seu navegador intencionalmente? Ou será que a Microsoft não se preocupam com a segurança de seus usuários que sua equipe de segurança deixou vulnerabilidade três anos de idade desconhecida?
Fonte: TheHackerNews