Корпорація Майкрософт виправить поточну уразливість, яка впливає на IE9,10 та 11

Головна » Microsoft

Значок часу читання 2 хв. читати

Піктограма календаря Опубліковано

by Сурур Давідс 

опубліковано на

Поділитися цією статтею

Читачі допомагають підтримувати MSpoweruser. Ми можемо отримати комісію, якщо ви купуєте через наші посилання. Значок підказки

Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі

На 7.44% Internet Explorer все ще має більшу частку ринку, ніж Edge, і лише трохи менше, ніж Firefox. Тому є гарною новиною, що Microsoft збирається виправити недолік у браузері, який може призвести до віддаленого виконання коду, якщо хтось відвідує спеціально створений веб-сайт за допомогою програмного забезпечення.

Консультація Microsoft щодо уразливості пам’яті ADV200001 Scripting Engine звучить так:

Уразливість віддаленого виконання коду існує в тому, як механізм сценаріїв обробляє об’єкти в пам’яті в Internet Explorer. Уразливість може пошкодити пам’ять таким чином, що зловмисник може виконати довільний код у контексті поточного користувача. Зловмисник, який успішно скористався вразливістю, може отримати ті самі права користувача, що й поточний користувач. Якщо поточний користувач увійшов у систему з правами адміністратора, зловмисник, який успішно скористався вразливістю, може взяти під контроль уражену систему. Після цього зловмисник може встановлювати програми; переглядати, змінювати або видаляти дані; або створювати нові облікові записи з повними правами користувача.

У сценарії веб-атаки зловмисник може розмістити спеціально створений веб-сайт, який призначений для використання вразливості через Internet Explorer, а потім переконати користувача переглянути веб-сайт, наприклад, надіславши електронний лист.

Microsoft розповіли TechCrunch що він «знав про обмежені цілеспрямовані атаки» і «працював над виправленням». Помилка схожа на один уражений Firefox і приписується тій же китайській дослідницькій групі з безпеки Qihoo 360.

Однак Microsoft не випускатиме оновлення Out of Band як минулого року, це означає, що користувачам доведеться почекати до наступного виправлення вівторка, 11 лютого.

Порок настільки серйозний, що Національна безпека випустила консультативний. Парадоксально, що Internet Explorer, швидше за все, використовується з конфіденційними даними, оскільки зазвичай корпоративні користувачі залишаються застряглими в браузері через потребу підтримки спеціально закодованих веб-програм.

Існують методи пом’якшення, які можуть використовувати адміністратори, які можна знайти в керівництві Microsoft тут.

через Engadget

Детальніше про теми: Internet Explorer, безпеку, windows 10

Сурур Давідс

Сурур Давідс Щит

Експерт зі смартфонів

Сурур Девідс є засновником WMPoweruser, який пізніше став MSPoweruser.com. Він експерт зі смартфонів із понад десятирічним досвідом.