Evo. G Tech Team Forum
Welcome to Evo. G Tech Team Forum. We have moved to a new website : www.evogtechteam.com

Thanks you.

by Evo. G Tech Team Management.

【转载】四个IE浏览器0day漏洞被公布

View previous topic View next topic Go down

【转载】四个IE浏览器0day漏洞被公布

Post by C Xue Yi on July 26th 2015, 18:27

惠普公司的Zero-Day Initiative (ZDI)团队公布了四个针对微软IE浏览器的0day漏洞,这些漏洞可导致受害者主机被远程执行恶意代码。
所有这四个漏洞被报告给了微软,原本是针对桌面系统中的IE浏览器,但之后发现这些漏洞同样影响Windows Phone系统中的IE。
这四个漏洞分别影响了浏览器的不同组件,都可以通过"强迫下载"攻击加以利用。

漏洞介绍
以下就是这四个漏洞:
ZDI-15-359: AddRow越界内存读取漏洞
ZDI-15-360: Use-After-Free远程代码执行漏洞
ZDI-15-361: Use-After-Free远程代码执行漏洞
ZDI-15-362: Use-After-Free远程代码执行漏洞
四个漏洞中最危险的一个就是AddRow越界内存读取漏洞,它会影响IE处理某些特定数组的方式。
Zero Day Initiative团队在[You must be registered and logged in to see this link.]中写道:
 "这个漏洞是有关IE处理HTML表格单元格数组的方式的,通过操控文档中的元素,攻击者可以强迫IE越界访问HTML单元格数组,在当前进程下执行代码。"
另一个[You must be registered and logged in to see this link.]是关于IE处理CAttrArray对象的。通过操控文档中的元素,攻击者可以利用这个漏洞强制重新使用一个已经释放了内存的悬垂指针,从而在目标机器上执行恶意代码。而另两个漏洞也十分相似,产生于IE处理CTreePos和CCurrentStyle对象的过程中。
目前微软已经修复桌面系统中IE浏览器的漏洞,但在Internet Explorer手机版中问题依然存在。




转载自 Freebuf黑客与极客(FreeBuf.COM)

C Xue Yi
Beginner
Beginner

Posts : 28
Points : 19484
Reputation : 0
Join date : 2015-03-25
Age : 20

View user profile

Back to top Go down

View previous topic View next topic Back to top


 
Permissions in this forum:
You cannot reply to topics in this forum