Το ευπάθεια DoS βρέθηκε στο πεδίο Όνομα νέας επαφής της εφαρμογής People της Microsoft

Νέα
Ασφάλεια / Το ευπάθεια DoS βρέθηκε στο πεδίο Όνομα νέας επαφής της εφαρμογής People της Microsoft 1 λεπτό ανάγνωση

Εφαρμογή βιβλίου διευθύνσεων εσωτερικών ατόμων + της Microsoft



Η Microsoft έχει το δικό της κεντρικό βιβλίο διευθύνσεων που συνδυάζει όλες τις κοινωνικές κλήσεις, τις επικοινωνίες και τις συνδέσεις σας σε ένα μέρος κάτω από την ομπρέλα της εφαρμογής People. Μια ευπάθεια άρνησης υπηρεσίας έχει βρεθεί στην έκδοση 10.1807.2131.0 των ανθρώπων της Microsoft από το Lord on the 4ουτου Σεπτεμβρίου 2018. Αυτή η ευπάθεια εντοπίστηκε και δοκιμάστηκε στο λειτουργικό σύστημα Windows 10 της Microsoft.

Η εφαρμογή Microsoft People στα λειτουργικά συστήματα επιτραπέζιων υπολογιστών Windows 8 και 10 είναι ουσιαστικά μια πλατφόρμα βάσης δεδομένων διαχείρισης επαφών που ονομάζεται βιβλίο διευθύνσεων. Ενώνει πολλούς λογαριασμούς email και επαφές άλλων πλατφορμών σε ένα σημείο για εύκολη πρόσβαση με ένα κλικ. Ενσωματώνει τους λογαριασμούς σας Apple, τους λογαριασμούς Microsoft, τους λογαριασμούς Xbox, τους λογαριασμούς Google, το Skype και πολλά άλλα όλα σε ένα μέρος, ώστε να μπορείτε να συνδεθείτε με τα άτομα που θέλετε άμεσα.



Η έξυπνη εφαρμογή συγχωνεύει επίσης επαφές από διαφορετικές πλατφόρμες για καλές κάρτες επαφών που περιέχουν όλες τις πληροφορίες που έχετε σχετικά με ένα συγκεκριμένο άτομο. Η εφαρμογή σάς επιτρέπει να παρακολουθείτε τα email και τα ημερολόγιά σας, συνδέοντάς τα με τους ενδιαφερόμενους.



Το σφάλμα άρνησης υπηρεσίας παρουσιάζεται σε αυτήν την εφαρμογή όταν εκτελείται ο κώδικας εκμετάλλευσης python και επικολλάται ένας κώδικας που προκαλεί σφάλμα. Για να το κάνετε αυτό, πρέπει να αντιγράψετε το περιεχόμενο του αρχείου κειμένου 'poc.txt' που περιέχει αυτόν τον κώδικα και να ξεκινήσετε την εφαρμογή ατόμων. Μέσα στην εφαρμογή, κάντε κλικ στο 'νέα επαφή (+)' και επικολλήστε τον κωδικό που αντιγράφηκε στο πρόχειρο στο πεδίο ονόματος. Μόλις αποθηκεύσετε αυτήν την επαφή, η εφαρμογή διακόπτεται με άρνηση υπηρεσίας.



Δεν έχει ακόμη εκχωρηθεί ετικέτα αναγνώρισης CVE σε αυτήν την ευπάθεια. Δεν υπάρχουν πληροφορίες σχετικά με το αν ο προμηθευτής έχει αναγνωρίσει αυτήν την ευπάθεια ακόμη, ή εάν η Microsoft σχεδιάζει ακόμη και να κυκλοφορήσει μια ενημέρωση για να μετριάσει αυτήν την ευπάθεια. Λαμβάνοντας υπόψη τις λεπτομέρειες της ευπάθειας, ωστόσο, πιστεύω ότι το exploit πέφτει κατά πάσα πιθανότητα σε μια βαθμολογία 4 στην κλίμακα CVSS 3.0, διακυβεύοντας μόνο τη διαθεσιμότητα του προγράμματος, καθιστώντας το λιγότερο ανησυχητικό χωρίς εγγύηση για μια ολόκληρη ενημέρωση για να το διορθώσουμε το δικό του.

Ετικέτες Microsoft