Microsoft lader Windows Phone Internet Explorer-sårbarheden ikke rettes i mere end 6 måneder

For 8 måneder siden skrev vi om HP's Pwn2Own-konkurrence, der så IE11 falde i indholdet, men selve operativsystemet forblev ubrudt, mens både iOS og Android var fuldt "ejet"

Det ser dog ud til, at denne begrænsede adgang har givet Microsoft nok selvtillid til at efterlade disse browsersårbarheder, hvilket efterlader vores cookies afsløret og efterlader OS'et åbent for hacks med privilegieeskalering, upatchet i mere end 6 måneder. nu.

Ars Technica rapporterer, at HP's sikkerhedsafdeling nu offentligt har offentliggjort detaljer om de fire kodeudførelsessårbarheder i IE11 Mobile brugt i Pwn2Own-konkurrencen.

Tipping Point har underrettet Microsoft om sårbarhederne i november 2014 og januar 2015. Microsofts embedsmænd anerkendte fejlene, men på trods af at de fik en forlængelse på 2 måneder (i alt 6 måneder) lykkedes det stadig ikke at rette sårbarhederne forud for offentliggørelsen.

Microsoft kommenterede: "Vi er opmærksomme på rapporterne om Internet Explorer til Windows Phone. En række faktorer ville skulle spille ind, og der er ikke rapporteret om angreb. Vi fortsætter med at overvåge situationen og vil tage passende skridt for at beskytte vores kunder."

Sårbarhederne, som tillader angribere at udføre kode med samme (lave) privilegium som IE, er stadig begrænset til IE-sandkassen, hvilket kan forklare, hvorfor Microsoft ikke anser det for kritisk. Selvfølgelig er IE11 også indstillet til at blive erstattet med Edge-browseren i løbet af de næste par måneder, men det er ikke klart, hvor lang tid dette vil tage, og også hvor stor en procentdel af den installerede Windows Phone 8.1-base, der i sidste ende vil opgradere.

Er vores læsere bekymrede over dette problem, eller mener du, at Microsoft bør koncentrere sig om at færdiggøre Windows 10 Mobile og ikke spilde tid på at rette en fejl på det, der snart vil være et ældre operativsystem? Fortæl os nedenfor.