Microsoft исправит эксплуатируемую в настоящее время уязвимость, затрагивающую IE9,10, 11 и XNUMX

Главная » Microsoft

Значок времени чтения 2 минута. читать

Значок календаря Опубликовано

by Сурур Давидс 

Опубликован в

Поделиться этой статьей

Читатели помогают поддержать MSpoweruser. Мы можем получить комиссию, если вы совершите покупку по нашим ссылкам. Значок подсказки

Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее

Internet Explorer с долей 7.44% по-прежнему имеет большую долю рынка, чем Edge, и лишь немного меньшую, чем Firefox. Поэтому хорошей новостью является то, что Microsoft собирается исправить ошибку в браузере, которая может привести к удаленному выполнению кода, если кто-то посетит специально созданный веб-сайт с помощью программного обеспечения.

Рекомендация Microsoft по уязвимости ADV200001 Scripting Engine, связанной с повреждением памяти, гласит:

В способе, которым обработчик сценариев обрабатывает объекты в памяти в Internet Explorer, существует уязвимость, делающая возможным удаленное выполнение кода. Уязвимость может повредить память таким образом, что злоумышленник сможет выполнить произвольный код в контексте текущего пользователя. Злоумышленник, успешно воспользовавшийся уязвимостью, может получить те же права пользователя, что и текущий пользователь. Если текущий пользователь вошел в систему с правами администратора, злоумышленник, успешно воспользовавшийся уязвимостью, может получить контроль над уязвимой системой. Затем злоумышленник может установить программы; просматривать, изменять или удалять данные; или создайте новые учетные записи с полными правами пользователя.

В сценарии атаки через Интернет злоумышленник может разместить специально созданный веб-сайт, предназначенный для использования уязвимости в Internet Explorer, а затем убедить пользователя просмотреть веб-сайт, например, отправив электронное письмо.

Microsoft сказала TechCrunch что он «знал об ограниченных целевых атаках» и «работал над исправлением». Уязвимость похожа на уязвимость Firefox и приписывается той же группе исследователей безопасности из Китая, Qihoo 360.

Однако Microsoft не будет выпускать обновление Out of Band. как в прошлом году, это означает, что пользователям придется ждать до следующего вторника исправлений 11 февраля.

Недостаток настолько серьезен, что Министерство национальной безопасности выпустило консультативный. Как это ни парадоксально, Internet Explorer, скорее всего, используется с конфиденциальными данными, поскольку, как правило, корпоративные пользователи остаются в браузере из-за необходимости поддержки специально закодированных веб-приложений.

Администраторы могут использовать методы смягчения последствий, которые можно найти в руководстве Microsoft здесь.

С помощью Engadget

Подробнее о темах: Internet Explorer, безопасность, Окна 10

Сурур Давидс

Сурур Давидс Щит

Эксперт по смартфонам

Сурур Давидс — основатель WMPoweruser, который позже стал MSPoweruser.com. Он эксперт по смартфонам с более чем десятилетним опытом.