Microsoft lascia la vulnerabilità di Internet Explorer di Windows Phone senza patch per più di 6 mesi
2 minuto. leggere
Edizione del
Condividi questo articolo
Migliora questa guida
Leggi la nostra pagina informativa per scoprire come puoi aiutare MSPoweruser a sostenere il team editoriale Per saperne di più
8 mesi fa abbiamo scritto di Il concorso Pwn2Own di HP che ha visto IE11 cadere nel contenuto, ma il sistema operativo stesso è rimasto intatto, mentre sia iOS che Android erano completamente "di proprietà"
Sembra tuttavia che questo accesso limitato abbia dato a Microsoft abbastanza fiducia per lasciare queste vulnerabilità del browser, il che lascia i nostri cookie esposti e lascia il sistema operativo aperto a hack di escalation dei privilegi, senza patch per più di 6 mesi. adesso.
Ars Technica riferisce che la divisione sicurezza di HP ha ora rilasciato pubblicamente i dettagli delle quattro vulnerabilità di esecuzione del codice in IE11 Mobile utilizzate nel concorso Pwn2Own.
Tipping Point ha notificato a Microsoft le vulnerabilità a novembre 2014 e gennaio 2015. I funzionari Microsoft hanno riconosciuto i bug, ma nonostante sia stata concessa una proroga di 2 mesi (per un totale di 6 mesi) non sono ancora riusciti a correggere le vulnerabilità prima della divulgazione.
Microsoft ha commentato: “Siamo a conoscenza dei rapporti riguardanti Internet Explorer per Windows Phone. Dovrebbero entrare in gioco una serie di fattori e non sono stati segnalati attacchi. Continuiamo a monitorare la situazione e adotteremo le misure appropriate per proteggere i nostri clienti".
Le vulnerabilità, che consentono agli aggressori di eseguire codice con lo stesso (basso) privilegio di IE, sono ancora al momento confinate nella sandbox di IE, il che potrebbe spiegare perché Microsoft non lo consideri critico. Ovviamente anche IE11 sarà sostituito con il browser Edge nei prossimi mesi, ma non è chiaro quanto tempo ci vorrà e anche quale percentuale della base installata di Windows Phone 8.1 verrà eventualmente aggiornata.
I nostri lettori sono preoccupati per questo problema o pensi che Microsoft dovrebbe concentrarsi sul completamento di Windows 10 Mobile e non perdere tempo a correggere un bug su quello che presto sarà un sistema operativo legacy? Facci sapere di seguito.
