Следующая новость
Предыдущая новость

Microsoft предупредила о новой 0-day уязвимости в Internet Explorer, патча для которой еще нет

20.01.2020 12:22
Microsoft предупредила о новой 0-day уязвимости в Internet Explorer, патча для которой еще нет

Рекомендуем почитать:

Xakep #248. Checkm8

  • Содержание выпуска
  • Подписка на «Хакер»

Компания Microsoft сообщила об уязвимости нулевого дня в браузере Internet Explorer, которую уже эксплуатируют для «ограниченных целевых атак». Проблема получила индентификатор CVE-2020-0674 и связана с уязвимостью в браузере Firefox, о которой стало известно в начале января. Судя по всему, упомянутые «ограниченные атаки» являются частью более крупной хакерской кампании, которая также включала в себя атаки на пользователей Firefox.

Первыми эту уязвимость «проспойлерили» еще эксперты компании Qihoo 360, которые опубликовали твит, где заявили, будто 0-day в Firefox использовался в связке с еще одной проблемой нулевого дня в Internet Explorer. Позже эта запись была удалена, и представители Microsoft тогда воздержались от комментариев.

Теперь специалисты Microsoft описывают уязвимость нулевого дня как проблему удаленного исполнения кода (RCE), которая связана с работой скриптового движка IE и нарушением целостности информации памяти. Эксплуатация проблемы позволяет злоумышленнику выполнить произвольный код в контексте текущего пользователя. Для этого достаточно заманить пользователя IE на вредоносный сайт.

По данным Microsoft, уязвимость влияет на Internet Explorer 9, 10 и 11 при работе в Windows 7, 8.1, 10, Server 2008, Server 2012, Server 2016 и Server 2019. При этом патча для свежей проблемы пока нет, и вместо исправления Microsoft опубликовала рекомендации по безопасности (ADV200001), позволяющие снизить риски. Сообщается, что работа над патчем уже ведется, однако точная дата его выпуска пока не названа.

Источник

Последние новости