Bốn lỗ hổng Zero Day trong Internet Explorer

Bạn nghĩ có bao nhiêu lỗ hổng Zero-Days có thể tấn công Microsoft ngày nay? Không phải một hay hai; lần này là bốn.

Zero-Day Initiative (ZDI) của tập đoàn công nghệ thông tin HP đã vạch ra bốn lỗ hổng zero-day mới trong trình duyệt Internet Explorer của Microsoft có thể bị khai thác để thực thi mã độc từ xa trên máy tính của nạn nhân.

Tất cả bốn zero-day ban đầu đã được báo cáo cho Microsoft, ảnh hưởng đến Internet Explorer trên máy tính để bàn. Tuy nhiên, sau đó người ta phát hiện các lỗ hổng zero-day cũng gây ảnh hưởng đến Internet Explorer Mobile trên Windows Phones.

Mỗi một lỗ hổng zero-day trong số 4 lỗ hổng này ảnh hưởng đến các thành phần khác nhau của trình duyệt, và tất cả đều được khai thác từ xa thông qua các cuộc tấn công drive-by điển hình.

Bốn lỗ hổng Zero-day do ZDI tiết lộ:

Dưới đây là những lỗ hổng zero-day, theo báo cáo của ZDI:

ZDI-15-359: Lỗ hổng vượt quá bộ nhớ truy cập AddRow

ZDI-15-360: Lỗ hổng thực thi mã từ xa sử dụng sau khi miễn phí

ZDI-15-361: Lỗ hổng thực thi mã từ xa sử dụng sau khi miễn phí

ZDI-15-362: Lỗ hổng thực thi mã từ xa sử dụng sau khi miễn phí

Lỗ hổng nghiêm trọng nhất trong số chúng là lỗ hổng vượt quá bộ nhớ truy cập AddRow, ảnh hưởng đến cách thức Internet Explorer xử lý một số array cụ thể.

“Lỗ hổng này liên quan đến cách Internet Explorer xử lý các array đại diện cho các cell trong các bảng HTML”, Zero Day Initiative cho biết. Một kẻ tấn công có thể tận dụng lỗ hổng này để thực thi mã từ xa”.

Một lỗ hổng khác công ty tiết lộ là một lỗi trong cách Internet Explorer xử lý các đối tượng CAttrArray. Lỗ hổng này có thể cho phép kẻ tấn công thao tác các yếu tố của một tài liệu trong nỗ lực để buộc một dangling pointer tự do được tái sử dụng, tận dụng cho kẻ tấn công thực thi mã độc trên máy tính của nạn nhân.

Hai zero-day khác cũng tương tự vì chúng liên quan đến Internet Explorer xử lý sai các đối tượng CTreePos và CCurrentStyle trong một số trường hợp. Điều này dẫn đến việc kẻ tấn công từ xa có thể tái sử dụng một dangling pointer, cho phép chúng thực thi mã tùy ý trên máy bị xâm nhập.

Microsoft đã sửa chữa tất cả bốn lỗ hổng zero-day trong phiên bản máy tính để bàn với trình duyệt của mình, nhưng những lỗ hổng vẫn còn trên Internet Explorer Mobile.

Zero Day Initiative của HP đã nhanh chóng công bố chính sách tiết lộ 120 ngày của họ. Họ thông báo cho Microsoft về lỗ hổng zero-day đầu tiên vào ngày 12/11/2014, và mở rộng thời hạn công bố thông tin đến 12/5/2015, sau đó lại đến 19/7. Tuy nhiên, do không có bản vá, ZDI công khai thông tin vào ngày 22/7.

THN