مرة اخرى : (PoC) قوقل تكشف ثغرة في متصفحات مايكروسوفت IE و EDGE

في الفترة الماضية, اصبحت Google تعتبر عنصرا مهم في عالم الحماية, فقد قامت بكشف عديد الثغرات والمشاكل في انظمة عالمية وضخمة قيد استعمال المستخدم والتي تضعه في خطر.

فهذه المرة, التي تعتبر الثانية من نوعها تجاه مايكروسوفت في اسبوع واحد, قامت قوقل بكشف ثغرة خطيرة بعد مرور ال 90 يوما بعد تبليغ بدون ان تتحرك الشركة المعنية بالامر.

هذه الثغرة المكتشفة من قبل Ivan Fratric العضو البارز في Google Project Zero team سجلت تحت CVE-2017-0037 و عرفت باسم “type confusion flaw” والتي تادي الى “Arbitrary Code Execution” في جهاز الهدف !

تم نشر Proof of Concept الثغرة :

قام المكتشف بنشر PoC الثغرة للعموم بحجة انه قام بالتبليغ يوم 25 نوفمبر من العام الفارط ولم تبدي مايكروسوفت اي اهتمام لمدة 90 يوما فقام بنشرها يوم 25 فيفري من هذه السنة, والتي تعتبر سياسة قوقل في التبليغ والنشر.

هذا الاستغلال الذي يؤدي الى توقف المتصفح عن العمل (Crash) ويتيح للمستغل فرصة تنفيذ اوامر في جهاز الضحية وبالتالي الحصول على صلاحيات الAdministrator.

صرح المكتشف ان الاستغلال نجح على عدة اجهزة منها ويندوز سيرفر 2012 R2 نسخة 64Bit, متصفح IE.

واكد Ivan ان جميع مستعملي Windows 7 و Windows 8 و Windows 10 ومستخدمي Internet Explorer او Edge مصابون بالثغرة.

يمكنكم مشاهدة المزيد عن هذه الثغرة والاطلاع على الPoC في مشكلة عدد 1011 في منتدى تبليغ ثغرات الخاص بمشروع Chromium.

مارايك في الموضوع ؟ اخبرنا رايك في التعليقات ولا تنسى مشاركته مع اصدقائك!

Comments

comments