DoS-haavoittuvuus löytyy Microsoftin People-sovelluksen Uusi yhteyshenkilön nimi -kentästä

Uutiset
Turvallisuus / DoS-haavoittuvuus löytyy Microsoftin People-sovelluksen Uusi yhteyshenkilön nimi -kentästä 1 minuutti luettu

Microsoftin sisäinen People + Address Book -sovellus



Microsoftilla on oma keskitetty osoitekirja, joka yhdistää kaikki sosiaaliset puhelut, viestinnät ja yhteydet yhteen paikkaan People-sovelluksen sateenvarjon alla. LORD on löytänyt palvelunestoheikkouden haavoittuvuuden Microsoft People -versiosta 10.1807.2131.0.thsyyskuu 2018. Tämä haavoittuvuus havaittiin ja testattiin Microsoftin Windows 10 -käyttöjärjestelmässä.

Microsoft People -sovellus Windows 8- ja Windows 10 -käyttöjärjestelmissä on pohjimmiltaan yhteystietojen hallinnan tietokannan alustan kopioitu osoitekirja. Se yhdistää useita sähköpostitilejä ja muiden alustojen yhteystietoja yhteen paikkaan yhdellä napsautuksella. Se sisältää Apple-tilisi, Microsoft-tilisi, Xbox-tilisi, Google-tilisi, Skypen ja paljon muuta yhdessä paikassa, jotta voit muodostaa yhteyden haluamiesi ihmisten kanssa välittömästi.

Älykäs sovellus yhdistää myös eri alustojen yhteystiedot terveellisiin yhteystietokorteihin, jotka sisältävät kaikki tietyn henkilön tiedot. Sovelluksen avulla voit seurata sähköpostejasi ja kalentereitasi yhdistämällä sen kiinnostaviin ihmisiin.



Palveluneston kaatuminen tapahtuu tässä sovelluksessa, kun pythonin hyödyntämiskoodi suoritetaan, ja kaatumista aiheuttava koodi liitetään sovellukseen. Tätä varten sinun on kopioitava tämän koodin sisältävän poc.txt-tekstitiedoston sisältö ja käynnistettävä ihmiset-sovellus. Napsauta sovelluksen sisällä 'uusi yhteyshenkilö (+)' ja liitä leikepöydälle kopioitu koodi nimikenttään. Kun olet tallentanut tämän yhteystiedon, sovellus kaatuu palveluneston yhteydessä.



CVE-tunnisteita ei ole vielä määritetty tälle haavoittuvuudelle. Ei ole tietoa siitä, onko myyjä vielä tunnustanut tämän haavoittuvuuden, vai aikooko Microsoft edes julkaista päivityksen tämän haavoittuvuuden korjaamiseksi. Ottaen huomioon haavoittuvuuden yksityiskohdat uskon kuitenkin, että hyödyntäminen todennäköisesti on noin 4 luokitusta CVSS 3.0 -asteikolla, mikä vaarantaa vain ohjelman saatavuuden, mikä tekee vähemmän korjattavaksi huolimatta siitä, että koko päivitys korjaa tämän sen oma.

Tunnisteet Microsoft