Microsoft iekšējā People + adrešu grāmatas lietojumprogramma
Microsoft ir sava centralizētā adrešu grāmata, kas apvieno visus jūsu sociālos zvanus, sakarus un savienojumus vienā vietā zem tās lietotnes People. Pakalpojuma atteikuma ievainojamība ir atrasta Microsoft People versijā 10.1807.2131.0, ko LORDth2018. gada septembrī. Šī ievainojamība tika atklāta un pārbaudīta Microsoft Windows 10 operētājsistēmā.
Microsoft People lietojumprogramma Windows 8 un 10 darbvirsmas operētājsistēmās būtībā ir kontaktu pārvaldības datu bāzes platforma, kas dublēta adrešu grāmatā. Tas vienā vietā apvieno vairākus e-pasta kontus un citu platformu kontaktpersonas, lai viegli piekļūtu. Tajā vienuviet ir iekļauti jūsu Apple konti, Microsoft konti, Xbox konti, Google konti, Skype un daudz kas cits, lai jūs varētu uzreiz sazināties ar cilvēkiem, kurus vēlaties.
Viedā lietojumprogramma arī apvieno kontaktus no dažādām platformām, lai iegūtu veselīgas kontaktu kartītes, kurās ir visa jūsu rīcībā esošā informācija par konkrētu personu. Lietojumprogramma ļauj izsekot jūsu e-pastiem un kalendāriem, savienojot to ar interesējošajiem cilvēkiem.
Pakalpojuma atteikuma avārija notiek šajā lietojumprogrammā, kad tiek palaists python izmantošanas kods, un lietojumprogrammā tiek ielīmēts avāriju izraisošs kods. Lai to izdarītu, jums ir jākopē teksta faila “poc.txt” saturs, kurā ir šis kods, un jāpalaiž lietojumprogramma cilvēki. Lietojumprogrammā noklikšķiniet uz “jauns kontakts (+)” un nosaukuma laukā ielīmējiet uz starpliktuves nokopēto kodu. Kad esat saglabājis šo kontaktpersonu, programma avarē un tiek atteikts pakalpojums.
CVE identifikācijas etiķete šai ievainojamībai vēl nav piešķirta. Nav arī informācijas par to, vai pārdevējs vēl ir atzinis šo ievainojamību, vai arī Microsoft pat plāno izlaist atjauninājumu, lai mazinātu šo ievainojamību. Tomēr, ņemot vērā ievainojamības detaļas, es uzskatu, ka izmantojums, visticamāk, CVSS 3.0 skalā ir aptuveni 4 vērtējumos, apdraudot tikai programmas pieejamību, padarot to mazāk uztraucamu, ja nav iemesla, lai viss atjauninājums to labotu savu.
Tagi Microsoft
