Уязвимость DoS обнаружена в поле имени нового контактного лица приложения Microsoft People.

Новости
Безопасность / Уязвимость DoS обнаружена в поле имени нового контактного лица приложения Microsoft People. 1 минута на чтение

Приложение Microsoft для служебных сотрудников и адресной книги



У Microsoft есть собственная централизованная адресная книга, которая объединяет все ваши социальные звонки, сообщения и связи в одном месте под зонтиком приложения People. Уязвимость отказа в обслуживании была обнаружена в версии 10.1807.2131.0 Microsoft People LORD 4thот сентября 2018 г. Эта уязвимость была обнаружена и протестирована в операционной системе Microsoft Windows 10.

Приложение Microsoft People в настольных операционных системах Windows 8 и 10 по сути представляет собой платформу базы данных управления контактами, получившую название адресной книги. Он объединяет несколько учетных записей электронной почты и контакты других платформ в одном месте для быстрого доступа одним щелчком мыши. Он объединяет ваши учетные записи Apple, Microsoft, Xbox, Google, Skype и многое другое в одном месте, чтобы вы могли мгновенно связываться с людьми, с которыми хотите общаться.



Смарт-приложение также объединяет контакты с разных платформ для создания полезных карточек контактов, содержащих всю имеющуюся у вас информацию о конкретном человеке. Приложение позволяет отслеживать электронную почту и календари, связывая их с интересующими вас людьми.



Отказ в обслуживании происходит в этом приложении, когда запускается код эксплойта python, а код, вызывающий сбой, вставляется в приложение. Для этого вы должны скопировать содержимое текстового файла «poc.txt», содержащего этот код, и запустить приложение People. В приложении нажмите «новый контакт (+)» и вставьте код, скопированный в буфер обмена, в поле имени. После сохранения этого контакта приложение вылетает из-за отказа в обслуживании.



Идентификационная метка CVE еще не присвоена этой уязвимости. Нет информации о том, признал ли производитель эту уязвимость и планирует ли Microsoft даже выпустить обновление для смягчения этой уязвимости. Однако, учитывая подробности уязвимости, я считаю, что эксплойт, скорее всего, имеет рейтинг 4 по шкале CVSS 3.0, что ставит под угрозу только доступность программы, что делает ее менее серьезной проблемой без гарантии для полного обновления, чтобы исправить это на свой собственный.

Теги Microsoft