Tags:
Node Thumbnail

ZDI รายงานช่องโหว่ของ Internet Explorer สี่รายการ ทั้งหมดค้นพบตั้งแต่ปลายปีที่แล้วถึงเดือนมกราคมปีนี้

ช่องโหว่ทั้งสี่มีหมายเลขประจำตัว ZDI-15-359, ZDI-15-360, ZDI-15-361,และ ZDI-15-362 มีคะแนนความร้ายแรงตามมาตรฐาน CVSS 7.5, 6.8, 6.8, และ 6.8 ตามลำดับ

ช่องโหว่ ZDI-15-359 ที่ร้ายแรงที่สุดอาศัยความผิดพลาดในการประมวลผลอาเรย์ (array) ในหน่วยความจำเมื่อประมวลผลตารางใน HTML เมื่อใส่ค่าที่เจาะจงจะสามารถบังคับให้ IE ใช้หน่วยความจำเกินจำนวนช่องอาเรย์ได้

ช่องโหว่ ZDI-15-359 นี้รายงานไปยังไมโครซอฟท์ครั้งแรกเมื่อวันที่ 12 ธันวาคมปีที่แล้วจากงาน Mobile Pwn2Own ตามนโยบาย 120 วันของ ZDI ไมโครซอฟท์จะมีเวลาถึงช่วงเดือนมีนาคม แต่ทางไมโครซอฟท์ยื่นขอเลื่อนกำหนดไปเป็นวันที่ 19 กรกฎาคมที่ผ่านมา หลังจากเจรจากันหลายรอบและทางไมโครซอฟท์ออกแพตช์ไม่ทัน ทาง ZDI จึงเปิดเผยช่องโหว่นี้ในวันที่ 20 กรกฎาคมที่ผ่านมาพร้อมๆ กับช่องโหว่อื่นๆ

ทางไมโครซอฟท์ให้เหตุผลที่ยังไม่ได้แก้ไขช่องโหว่นี้ว่า การป้องกันด้วย ASLR บนระบบ 64 บิตนั้นมีประสิทธิภาพดี และระบบ Memory Protection จะช่วยลดความเสี่ยงไปได้มาก

ตอนนี้ยังไม่มีแพตช์ ทางออกตอนนี้ทาง ZDI แนะนำให้ปิดการทำงานของ Active Scripting หรือเปิดใช้งานเฉพาะอินทราเน็ตเท่านั้นหากจำเป็น

ที่มา - ThreatPost

alt="upic.me"

Get latest news from Blognone

Comments

By: panurat2000
ContributorSymbianUbuntuIn Love
on 23 July 2015 - 23:28 #829424
panurat2000's picture

แต่ทางไมโครซอฟท์ยื่นของเลื่อนกำหนดไปเป็นวันที่ 19 กรกฎาคมที่ผ่านมา

ของเลื่อน => ขอเลื่อน

By: hisoft
ContributorWindows PhoneWindows
on 24 July 2015 - 00:26 #829428
hisoft's picture

มัวไปทำ Edge อยู่เหรอครับ :p

By: leeyiankun
Windows PhoneAndroidWindows
on 24 July 2015 - 10:07 #829480 Reply to:829428

น่าจะ