Microsofti in-house People + aadressiraamatu rakendus
Microsoftil on oma tsentraliseeritud aadressiraamat, mis ühendab kõik teie sotsiaalkõned, suhtlus ja ühendused ühes kohas rakenduse People all. LORD leidis Microsofti inimeste versioonist 10.1807.2131.0 teenuse keelamise haavatavusethseptember 2018. See haavatavus avastati ja testiti Microsofti Windows 10 operatsioonisüsteemis.
Windows 8 ja 10 töölauaoperatsioonisüsteemides olev Microsoft People'i rakendus on sisuliselt kontaktide haldamise andmebaasi platvorm, mis on dubleeritud aadressiraamatuks. See ühendab mitu e-posti kontot ja teiste platvormide kontakte ühes kohas, et hõlpsasti juurde pääseda. See sisaldab teie Apple'i kontosid, Microsofti kontosid, Xboxi kontosid, Google'i kontosid, Skype'i ja palju muud ühes kohas, et saaksite hetkega ühendust luua inimestega, kellega soovite.
Nutirakendus ühendab ka erinevate platvormide kontaktid, et saada tervislikke kontaktkaarte, mis sisaldavad kogu teavet, mis teil konkreetse inimese kohta on. Rakendus võimaldab teil jälgida oma e-kirju ja kalendreid, ühendades selle huvipakkuvate inimestega.
Teenuse keelamise krahh ilmneb selles rakenduses, kui käivitatakse pythoni ärakood ja krahhi tekitav kood kleebitakse rakendusse. Selleks peate kopeerima seda koodi sisaldava tekstifaili “poc.txt” sisu ja käivitama rakenduse inimesed. Klõpsake rakenduse sees nuppu „uus kontakt (+)” ja kleepige nimeväljale lõikelauale kopeeritud kood. Kui olete selle kontakti salvestanud, jookseb rakendus kokku teenuse keelamise korral.
CVE identifitseerimismärgist pole sellele haavatavusele veel määratud. Puudub teave selle kohta, kas müüja on seda haavatavust veel tunnistanud või kavatseb Microsoft selle turvaauku leevendamiseks isegi värskenduse välja anda. Arvestades haavatavuse üksikasju, usun siiski, et ekspluateerimine langeb CVSS 3.0 skaalal tõenäoliselt umbes 4 reitingule, kahjustades ainult programmi kättesaadavust, mistõttu on selle parandamine ilma värskenduse põhjuseta vähem murettekitav oma.
Sildid Microsoft
