מיקרוסופט תתקן את הפגיעות המנוצלת כעת המשפיעה על IE9,10 ו-11

עם 7.44% לאינטרנט אקספלורר עדיין יש יותר נתח שוק מ-Edge ורק מעט פחות מפיירפוקס. לכן חדשות טובות שמיקרוסופט אמורה לתקן פגם בדפדפן שעלול לגרום לביצוע קוד מרחוק אם מישהו מבקר באתר בעל מבנה מיוחד באמצעות התוכנה.

הייעוץ של מיקרוסופט לגבי פגיעות השחתת זיכרון של מנוע Scripting ADV200001 נכתב:

קיימת פגיעות של ביצוע קוד מרחוק באופן שבו מנוע הסקריפטים מטפל באובייקטים בזיכרון ב-Internet Explorer. הפגיעות עלולה להשחית את הזיכרון בצורה כזו שתוקף יוכל לבצע קוד שרירותי בהקשר של המשתמש הנוכחי. תוקף שיצליח לנצל את הפגיעות יכול לקבל את אותן זכויות משתמש כמו המשתמש הנוכחי. אם המשתמש הנוכחי מחובר עם זכויות משתמש ניהוליות, תוקף שיצליח לנצל את הפגיעות יוכל להשתלט על מערכת מושפעת. לאחר מכן, תוקף יוכל להתקין תוכניות; להציג, לשנות או למחוק נתונים; או ליצור חשבונות חדשים עם זכויות משתמש מלאות.

בתרחיש התקפה מבוסס אינטרנט, תוקף יכול לארח אתר בעל מבנה מיוחד שנועד לנצל את הפגיעות דרך Internet Explorer ולאחר מכן לשכנע משתמש לצפות באתר, למשל, על ידי שליחת דואר אלקטרוני.

אמרה מיקרוסופט TechCrunch שהיא הייתה "מודעת להתקפות ממוקדות מוגבלות" ו"עבדה על תיקון". הפגם נראה דומה ל-Firefox מושפע והוא נזקף לזכותו של אותו צוות מחקר אבטחה מסין, Qihoo 360.

עם זאת, מיקרוסופט לא תשחרר עדכון Out of Band כמו בשנה שעברה, כלומר, המשתמשים יצטרכו להמתין עד יום שלישי של התיקון הבא ב-11 בפברואר.

הפגם הוא כה חמור ביטחון המולדת הוציא ייעוץ. באופן פרדוקסלי, ככל הנראה משתמשים ב-Internet Explorer עם נתונים רגישים מכיוון שבדרך כלל משתמשים ארגוניים נשארים תקועים בדפדפן עקב הצורך לתמוך ביישומי אינטרנט מקודדים במיוחד.

ישנן טכניקות הפחתה שמנהלי מערכת יכולים להשתמש בהן, שניתן למצוא בהנחיה של מיקרוסופט כאן.

בְּאֶמצָעוּת Engadget