Microsoft полгода не может закрыть критическую уязвимость в Internet Explorer
Microsoft седьмой месяц оставляет неустраненной критическую уязвимость в веб-браузере Internet Explorer 8, информирует ресурс Zero Day Initiative, обозначивший брешь как CVE-2014-1770.
Дыра в Internet Explorer 8 позволяет хакеру получить полный контроль над системой после того, как жертва посетит веб-сайт с внедренным в него вредоносным кодом.
После получения доступа к ПК, злоумышленник получает те же права, что и пользователь. В случае если права пользователя ограничены в системе, у злоумышленника будет меньше возможностей по ее взлому.
Атака начинается с рассылки электронных писем, в которых содержится ссылка на вредоносный сайт. При этом хакеры используют скрипты и сценарии ActiveX. В популярных почтовых приложениях Microsoft Outlook, Microsoft Outlook Express и Windows Mail присутствует зашита от выполнения таких компонентов, но вне этих приложений, пользователь становится беззащитным.
По информации ресурса, Microsoft была уведомлена об уязвимости 11 октября 2013 г., однако с тех пор так ее и не устранила. В соответствии с политикой ZDI, спустя 180 дней сайт публично объявил о "дыре". 8 мая 2014 г. сайт ZDI предупредил Microsoft о предстоящем раскрытии информации.
В период ожидания обновления от Microsoft специалисты советуют максимально повысить уровень защиты в настройках браузера для блокировки скриптов и сценариев ActiveX, а также настроить браузер таким образом, чтобы он просил у пользователя разрешение на их запуск.
В последний раз о критической уязвимости в IE сообщалось в конце апреля. Ей было присвоено обозначение CVE-2014-1776. Особенностью CVE-2014-1776 стало то, что эта дыра была найдена во всех версиях браузера — начиная с шестой и заканчивая одиннадцатой.