इंटरनेट एक्स्प्लोरर
Microsoft VBScript वास्तव में विज़ुअल बेसिक पर मॉडलिंग की गई एक सक्रिय स्क्रिप्टिंग भाषा है। यह विज़ुअल बेसिक के समान है और इसका उपयोग डायनेमिक वेब पेज बनाने के लिए सर्वर-साइड स्क्रिप्टिंग वातावरण बनाने के लिए किया जा सकता है जो VBScript या जावास्क्रिप्ट का उपयोग करते हैं।
rtFilter आउट-बाउंड्स भेद्यता
लगता है कि Microsoft के VBScript में rtFilter फ़ंक्शन के साथ एक बाहरी सीमा भेद्यता है। फ़ंक्शन मल्टीचैनल संकेतों के लिए वास्तविक समय डिजिटल फ़िल्टरिंग को लागू करने में सी में लिखी गई लाइब्रेरी प्रदान करता है।
एक आउट-ऑफ-बाउंड भेद्यता एक हमलावर को मेजबान सिस्टम में दुर्भावनापूर्ण इनपुट भेजने में मदद कर सकती है। यह एक आउट-ऑफ-बाउंड रीड स्थिति का कारण बनता है, हमलावर को मनमाना कोड चलाने में मदद करता है।
पर प्रारंभिक विश्लेषण Packetstorm राज्य ' rtFilter फ़िल्टर () फ़ंक्शन को लागू करने पर VbsFilter से फ़ंक्शन को बुलाया जाता है। फ़िल्टर () फ़ंक्शन स्ट्रिंग की एक सरणी लेता है और एक स्ट्रिंग को परम के रूप में लेता है और मूल सरणी से सिर्फ उन तत्वों से युक्त एक और सरणी देता है युक्त निर्दिष्ट (उप) स्ट्रिंग । ' इसके अलावा ' मुद्दा यह है कि इनपुट सरणी को आकार दिया जा सकता है rtFilter कॉल करें (इनपुट सरणी सदस्यों में से किसी एक पर डिफ़ॉल्ट गेटर को आमंत्रित करके) और rtFilter इस मामले को सही ढंग से संभालने में विफल रहता है। जबकि rtFilter इनपुट सरणी को आकार दिया गया है या नहीं, यह निर्धारित करने के लिए कुछ तर्क को लागू करता है, यह तर्क इनपुट सरणी के तत्वों को ध्यान में रखने में विफल रहता है जो * इनपुट स्ट्रिंग से मेल नहीं खाता * (PoC में 'b' तार नोटिस और PoC कैसे होगा काम करने के लिए बंद करो अगर उन सभी को 'ए' में बदल दिया जाता है। '
यह मूल रूप से rtFilter कॉल के दौरान इनपुट सरणी आकार बदलने के साथ कुछ समस्या है।
जोखिम में कौन है?
इंटरनेट एक्सप्लोरर उपयोगकर्ता ज्यादातर प्रभावित होते हैं। कोई भी ब्राउज़र नहीं है जो VBScript का उपयोग करता है, इसलिए, IE जोखिम में एकमात्र है। भेद्यता को पैच नहीं किया गया है और अभी भी विंडोज 7 पर मौजूद है, यहां तक कि नवीनतम पैच पर भी।
VBScript उम्र बढ़ने है, हालांकि Microsoft ने ASP.NET में VBScript के भविष्य का समर्थन प्रदान करने का निर्णय लिया है। यहां तक कि विंडोज एज और IE11 ने इसे एक स्क्रिप्टिंग भाषा के रूप में गिरा दिया है। यह भेद्यता केवल इंटरनेट एक्सप्लोरर को दुर्घटना का कारण बना सकती है, इस पर अधिक गंभीर हमलों का उल्लेख नहीं किया गया है शोधकर्ताओं ।
टैग माइक्रोसॉफ्ट
