โครงการ Zero-Day Initiative (ZDI) ของเอชพีเปิดเผยบั๊ก CVE-2014-1770 หรือ ZDI-14-140 ที่เปิดเผยให้กับไมโครซอฟท์ตั้งแต่ช่วงเดือนตุลาคมปีที่แล้ว จนตอนนี้บั๊กนี้ครบระยะเวลารอแพตซ์จากผู้ผลิต 180 วัน ทาง ZDI ก็เปิดเผยบั๊กนี้ออกมา

บั๊กนี้อาศัยช่องโหว่ของออปเจกต์ CMarkup ทำให้แฮกเกอร์สามารถนำพอยเตอร์กลับมาใช้ใหม่ได้หลังคืนหน่วยความจำไปแล้ว (use-after-free) ทำให้แฮกเกอร์สามารถรันโค้ดภายใต้โปรเซสปัจจุบันได้

ไมโครซอฟท์ตอบกลับมายัง ZDI ยืนยันว่าพบบั๊กนี้จริงโดยผู้ใช้ต้องถูกล่อให้เปิดหน้าเว็บหรือเปิดไฟล์ที่เจาะช่องโหว่นี้ การเปิดเว็บที่ถูกควบคุมเฉพาะเช่น การเปิดเว็บที่ฝังมาในอีเมลใน Outlook หรือ Windows Mail ไม่สามารถเจาะช่องโหว่นี้ได้ และแนะนำให้ติดตั้ง Enhanced Mitigation Experience Toolkit (EMET) เพื่อลดความเสี่ยงจากบั๊กนี้

ทาง ZDI แจ้งไมโครซอฟท์ครั้งสุดท้ายเมื่อวันที่ 8 ที่ผ่านมาว่าครบกำหนดการเปิดเผยบั๊ก แล้วจึงเปิดเผยบั๊กออกมาในวันนี้

ที่มา - The Register