Microsoft naprawi obecnie wykorzystywaną lukę w IE9,10 i 11
2 minuta. czytać
Opublikowany
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
Na poziomie 7.44% Internet Explorer nadal ma większy udział w rynku niż Edge i tylko nieznacznie mniejszy niż Firefox. To dobra wiadomość, że Microsoft jest gotowy do naprawienia usterki w przeglądarce, która może skutkować zdalnym wykonaniem kodu, jeśli ktoś odwiedzi specjalnie spreparowaną witrynę za pomocą tego oprogramowania.
Poradnik firmy Microsoft dotyczący luki w zabezpieczeniach mechanizmu skryptów ADV200001 związanej z uszkodzeniem pamięci brzmi:
W sposobie, w jaki aparat skryptów obsługuje obiekty w pamięci w programie Internet Explorer, istnieje luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu. Luka może uszkodzić pamięć w taki sposób, że osoba atakująca może wykonać dowolny kod w kontekście bieżącego użytkownika. Osoba atakująca, której uda się wykorzystać lukę, może uzyskać takie same prawa użytkownika, jak bieżący użytkownik. Jeśli bieżący użytkownik jest zalogowany z uprawnieniami administratora, osoba atakująca, której uda się wykorzystać lukę, może przejąć kontrolę nad systemem, którego dotyczy. Atakujący może wówczas zainstalować programy; przeglądać, zmieniać lub usuwać dane; lub utwórz nowe konta z pełnymi prawami użytkownika.
Osoba atakująca za pośrednictwem sieci Web może udostępniać specjalnie spreparowaną witrynę sieci Web, której celem jest wykorzystanie luki w zabezpieczeniach programu Internet Explorer, a następnie przekonać użytkownika do wyświetlenia witryny, na przykład poprzez wysłanie wiadomości e-mail.
Microsoft powiedział TechCrunch że był „świadomy ograniczonych ataków ukierunkowanych” i „pracował nad poprawką”. Ta luka wydaje się podobna do tej, której dotyczy Firefox, i jest przypisywana temu samemu chińskiemu zespołowi badawczemu ds. bezpieczeństwa, Qihoo 360.
Microsoft nie wyda jednak aktualizacji Out of Band jak ubiegłego roku, co oznacza, że użytkownicy będą musieli poczekać do następnego wtorkowego patcha 11 lutego.
Ta usterka jest tak poważna, że wydano ją z Homeland Security i doradczy. Paradoksalnie Internet Explorer jest najprawdopodobniej używany do przechowywania poufnych danych, ponieważ zazwyczaj użytkownicy korporacyjni utknęli w przeglądarce z powodu konieczności obsługi specjalnie zakodowanych aplikacji internetowych.
Istnieją techniki ograniczania ryzyka, z których mogą skorzystać administratorzy, które można znaleźć we wskazówkach firmy Microsoft tutaj.
Przez Engadget