เมื่อวันที่ 23 กุมภาพันธ์ที่ผ่านมา Project Zero เปิดเผยรายละเอียดช่องโหว่ของเว็บเบราว์เซอร์ Internet Explorer และ Microsoft Edge ของไมโครซอฟท์

ตามรายงาน ระบุรายละเอียดว่าเป็น type confusion ใน HandleColumnBreakOnColumnSpanningElement การโจมตีสามารถใช้โค้ด html เพียง 17 บรรทัด ทำให้เว็บเบราว์เซอร์ใช้งานไม่ได้ (crash) เปิดโอกาสให้มีการรันโค้ดที่เป็นอันตราย (Malicious Code) ได้

ในรายงานยังระบุว่าพบปัญหาใน IE รุ่น 64-bit ที่รันบน Windows Server 2012 R2 และเชื่อว่ารุ่น 32-bit และ Microsoft Edge น่าจะได้รับผลกระทบเช่นเดียวกัน (should behave similarly)

Project Zero แจ้งไมโครซอฟท์ถึงช่องโหว่นี้เมื่อวันที่ 25 พฤศจิกายน 2016 และกำหนดให้ไมโครซอฟท์ออกแพทช์แก้ไขภายใน 90 วัน เมื่อครบกำหนดแล้วไมโครซอฟท์ยังไม่ได้แก้ไข Project Zero จึงเปิดเผยช่องโหว่ดังกล่าวสู่สาธารณะ

ช่องโหว่นี้เป็นช่องโหว่ที่ 2 ที่ถูก Project Zero เปิดเผยออกมาหลังไมโครซอฟท์ตัดสินใจเลื่อนแพทช์ประจำเดือนกุมภาพันธ์ออกไป

ที่มา: MSPoweruser