مایکروسافت آسیب پذیری مورد سوء استفاده فعلی را که بر IE9,10،11 و XNUMX تأثیر می گذارد، رفع خواهد کرد
2 دقیقه خواندن
منتشر شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
اینترنت اکسپلورر با 7.44 درصد همچنان سهم بازار بیشتری نسبت به Edge و فقط کمی کمتر از فایرفاکس دارد. بنابراین، خبر خوبی است که مایکروسافت قصد دارد نقصی را در مرورگر برطرف کند که در صورت بازدید شخصی از یک وبسایت خاص با استفاده از نرمافزار، میتواند منجر به اجرای کد از راه دور شود.
توصیه مایکروسافت برای آسیبپذیری آسیبپذیری حافظه موتور اسکریپت ADV200001 چنین است:
یک آسیبپذیری اجرای کد از راه دور به روشی وجود دارد که موتور برنامهنویسی اشیاء موجود در حافظه را در اینترنت اکسپلورر کنترل میکند. این آسیب پذیری می تواند حافظه را به گونه ای خراب کند که مهاجم بتواند کد دلخواه را در زمینه کاربر فعلی اجرا کند. مهاجمی که با موفقیت از این آسیبپذیری سوء استفاده کند، میتواند همان حقوق کاربر را به عنوان کاربر فعلی به دست آورد. اگر کاربر فعلی با حقوق کاربر مدیریت وارد شده باشد، مهاجمی که با موفقیت از این آسیبپذیری سوء استفاده کرده است، میتواند کنترل سیستم آسیبدیده را در دست بگیرد. سپس یک مهاجم می تواند برنامه ها را نصب کند. مشاهده، تغییر یا حذف داده ها؛ یا ایجاد حساب های جدید با حقوق کامل کاربر.
در یک سناریوی حمله مبتنی بر وب، یک مهاجم میتواند میزبان یک وبسایت ویژه ساخته شده باشد که برای سوء استفاده از آسیبپذیری از طریق اینترنت اکسپلورر طراحی شده است و سپس کاربر را متقاعد میکند که وبسایت را مشاهده کند، مثلاً با ارسال ایمیل.
مایکروسافت گفت TechCrunch که "از حملات هدفمند محدود آگاه بود" و "در حال کار بر روی یک اصلاح" بود. به نظر میرسد این نقص مشابه یکی از فایرفاکسهای آسیبدیده است و به همان تیم تحقیقاتی امنیتی مستقر در چین، Qihoo 360 نسبت داده میشود.
با این حال مایکروسافت آپدیت Out of Band را منتشر نخواهد کرد مثل پارسال به این معنی که کاربران باید تا پچ سه شنبه بعدی در 11 فوریه صبر کنند.
این نقص بسیار شدید است که امنیت داخلی صادر شده است مشاوره. به طور متناقض، اینترنت اکسپلورر به احتمال زیاد با داده های حساس استفاده می شود، زیرا عموماً کاربران سازمانی هستند که به دلیل نیاز به پشتیبانی از برنامه های وب کدگذاری شده ویژه، در مرورگر گیر کرده اند.
تکنیکهای کاهشی وجود دارد که مدیران میتوانند از آنها استفاده کنند که میتوان آنها را پیدا کرد در راهنمای مایکروسافت در اینجا.
از طريق Engadget