主要企業は、デバイスのパフォーマンスをさらに向上させるために、毎月アップデートをリリースすることがよくあります。 ただし、ユーザーを常に保護するために、途中で検出されたすべてのセキュリティ問題を解決する機会もあります。 数年前、GoogleはProject Zeroを作成しました。これは、 アプリケーションとオペレーティングシステムの両方でセキュリティ上の欠陥を検出する。 これらの障害は問題の製造元に迅速に通知され、正式になる前に修正するための90日間のマージンが与えられます。これは、外部の友人がユーザー情報を取得するためにそれらを利用できるため、ユーザーを危険にさらす立場です。
Googleのポリシーは別として、これらXNUMXつの脆弱性はゼロデイ攻撃です。つまり、これらの脆弱性は それらはアプリケーションが作成されてから存在し、開発者によって検出されていません アプリケーションまたはオペレーティングシステムを作成するとき、影響を受けるアプリケーションまたはシステムは、問題が修正されるまで攻撃を受け続けます。
Project Zeroによると、この脆弱性は非常に簡単に悪用できます。これは、rcx変数とrax変数に焦点を合わせた17行のHTMLコードしか必要としないため、外部の友人がブラウザを制御できるようになるためです。 InternetExplorerまたはMicrosoftEdgeに保存したユーザーの名前とパスワードにアクセスします。
今回影響を受けたブラウザは、InternetExplorerとMicrosoftEdgeです。 この記事の冒頭で述べたように、Project Zeroは、この問題を解決するためにMicrosoftに提供した90規制日が経過して以来、この脆弱性についてユーザーに通知することを余儀なくされています。 MSPowerUserによって報告されたように、ブラウザが制御するある種の攻撃に苦しむことを回避するための最良の方法は、 ゲストユーザーであるかのようにブラウザを実行することです、つまり、いかなる種類の特権もありません。