¿Podrían las causas de la vulnerabilidad CVE-2015-2502 ser comunes a Firefox y Chrome?

3

El martes 18 de agosto de 2015, Microsoft publicó un aviso señalando un 0 Vulnerabilidad del día ( CVE-2015-2502 ) que un atacante puede explotar para realizar un ejecución remota de código en Internet Explorer (de la versión 7) a 11, incluso si está ejecutando Windows 10), el navegador web le permite obtener los mismos derechos de usuario que el usuario actual. La vulnerabilidad reside en cómo IE maneja los objetos.

Estos últimos días, he estado explorando esta vulnerabilidad para entenderla, así que aterricé en Comprensión y solución Patrones de fuga de Internet Explorer donde obtuve una visión bastante interesante de cómo el manejo de objetos de IE siempre ha sufrido diferentes errores que Microsoft agrupó en 4 categorías (referencias circulares, cierres, filtraciones cruzadas y pseudo-filtraciones).

Dado que las causas de estas pérdidas de memoria se deben a la forma en que JavaScript, DOM ... interactúan en IE, ¿podrían ser comunes en Firefox y Chrome o son específicamente inherentes a IE?

    
pregunta 21.08.2015 - 20:37
fuente

1 respuesta

1

El CVE que proporcionaste contiene un enlace a un tweet de Greg Linares que muestra que la causa de esta vulnerabilidad es un uso. - Gratis en Internet Explorer. Las vulnerabilidades de uso después de libre ocurren cuando un programa libera un trozo de memoria mientras aún mantiene una referencia a la memoria liberada.

Aunque Firefox y Chrome tienen sus propias implementaciones de Javascript (spidermonkey y blink / webkit), ambos han sido explotados usando esta misma técnica muchas, muchas, muchas veces. A continuación, se encuentran algunos de los mejores enlaces que he encontrado que explican el uso después de la explotación gratuita en Firefox, Chrome e IE:

respondido por el Justin Moore 21.08.2015 - 21:26
fuente

Lea otras preguntas en las etiquetas