Ranljivost DoS najdena v polju Novo ime stika Microsoftove aplikacije za ljudi

Microsoftova interna aplikacija People + Address Book

Microsoft ima svoj centraliziran adresar, ki združuje vse vaše družabne klice, komunikacije in povezave na enem mestu pod okriljem svoje aplikacije People. LORD je 4. septembra v Microsoftovi različici 10.1807.2131.0 odkril ranljivost storitve.^thseptembra 2018. To ranljivost smo odkrili in preizkusili v Microsoftovem operacijskem sistemu Windows 10.

Aplikacija Microsoft People v namiznih operacijskih sistemih Windows 8 in 10 je v bistvu platforma baze podatkov za upravljanje stikov, poimenovana adresar. Na enem mestu združuje več e-poštnih računov in stike drugih platform za enostaven dostop. Na enem mestu vključuje vaše račune Apple, Microsoftove račune, račune Xbox, Google račune, Skype in še veliko več, tako da se lahko takoj povežete z ljudmi, ki jih želite.

Pametna aplikacija združuje tudi stike z različnih platform za koristne vizitke, ki vsebujejo vse podatke o določeni osebi. Aplikacija vam omogoča sledenje e-poštnim sporočilom in koledarjem ter povezavo z vašimi ljudmi, ki vas zanimajo.

Zavrnitev storitve se zruši v tej aplikaciji, ko se zažene koda za izkoriščanje pythona in v aplikacijo prilepi kodo, ki povzroča zrušitev. Če želite to narediti, morate kopirati vsebino besedilne datoteke “poc.txt”, ki vsebuje to kodo, in zagnati aplikacijo za ljudi. V aplikaciji kliknite »nov stik (+)« in v polje za ime prilepite kopirano kodo v odložišče. Ko shranite ta stik, se aplikacija zruši z zavrnitvijo storitve.

Identifikacijska oznaka CVE tej ranljivosti še ni dodeljena. Ni podatkov o tem, ali je prodajalec to ranljivost še priznal ali pa Microsoft sploh namerava izdati posodobitev za ublažitev te ranljivosti. Glede na podrobnosti o ranljivosti pa verjamem, da izkoriščanje najverjetneje pade na približno 4 ocene na lestvici CVSS 3.0, kar ogroža le razpoložljivost programa, zaradi česar je manjša skrb brez upravičenja za celotno posodobitev, da se to popravi na svoje.