ZDI รายงานช่องโหว่ของ Internet Explorer สี่รายการ ทั้งหมดค้นพบตั้งแต่ปลายปีที่แล้วถึงเดือนมกราคมปีนี้

ช่องโหว่ทั้งสี่มีหมายเลขประจำตัว ZDI-15-359, ZDI-15-360, ZDI-15-361,และ ZDI-15-362 มีคะแนนความร้ายแรงตามมาตรฐาน CVSS 7.5, 6.8, 6.8, และ 6.8 ตามลำดับ

ช่องโหว่ ZDI-15-359 ที่ร้ายแรงที่สุดอาศัยความผิดพลาดในการประมวลผลอาเรย์ (array) ในหน่วยความจำเมื่อประมวลผลตารางใน HTML เมื่อใส่ค่าที่เจาะจงจะสามารถบังคับให้ IE ใช้หน่วยความจำเกินจำนวนช่องอาเรย์ได้

ช่องโหว่ ZDI-15-359 นี้รายงานไปยังไมโครซอฟท์ครั้งแรกเมื่อวันที่ 12 ธันวาคมปีที่แล้วจากงาน Mobile Pwn2Own ตามนโยบาย 120 วันของ ZDI ไมโครซอฟท์จะมีเวลาถึงช่วงเดือนมีนาคม แต่ทางไมโครซอฟท์ยื่นขอเลื่อนกำหนดไปเป็นวันที่ 19 กรกฎาคมที่ผ่านมา หลังจากเจรจากันหลายรอบและทางไมโครซอฟท์ออกแพตช์ไม่ทัน ทาง ZDI จึงเปิดเผยช่องโหว่นี้ในวันที่ 20 กรกฎาคมที่ผ่านมาพร้อมๆ กับช่องโหว่อื่นๆ

ทางไมโครซอฟท์ให้เหตุผลที่ยังไม่ได้แก้ไขช่องโหว่นี้ว่า การป้องกันด้วย ASLR บนระบบ 64 บิตนั้นมีประสิทธิภาพดี และระบบ Memory Protection จะช่วยลดความเสี่ยงไปได้มาก

ตอนนี้ยังไม่มีแพตช์ ทางออกตอนนี้ทาง ZDI แนะนำให้ปิดการทำงานของ Active Scripting หรือเปิดใช้งานเฉพาะอินทราเน็ตเท่านั้นหากจำเป็น

ที่มา - ThreatPost