Xakep #236. FPGA

• Содержание выпуска


• Подписка на «Хакер»

Разработчики Microsoft выпустили внеочередной патч, устраняющий критическую 0-day уязвимость в  Internet Explorer (CVE-2018-8653).  Проблему нашли специалисты из Google Threat Analysis Group и они же сообщили, что брешь уже находится под атакой.

Уязвимость связана с тем, как скриптовый движок браузера обрабатывает объекты в памяти. Злоумышленник может спровоцировать повреждение данных в памяти, таким образом выполнив на уязвимой машине произвольный код. Проблема осложняется тем, что уязвимость можно эксплуатировать удаленно, скажем, заманив жертву на вредоносный сайт или через приложения, использующие в работе скриптовый движок IE (к примеру, так делают программы из пакеты Office).

Хотя код злоумышленника будет выполнен с привилегиями текущего пользователя, стоит заметить, только за последние четыре месяца Microsoft исправила четыре другие уязвимости нулевого дня, связанные с эскалацией привилегий (CVE-2018-8611, CVE-2018-8589, CVE-2018-8453, CVE-2018-8440). Таким образом, если потенциальная жертва атакующих устанавливает обновления не слишком часто,  свежую проблему в IE можно скомбинировать с другими багами, что позволит злоумышленнику повысить привилегии в системе.

Обновления вышли для Internet Explorer 11 для Windows 10, Windows 8.1 и Windows 7 SP1,а также для Internet Explorer 10 для Windows Server 2012 и Internet Explorer 9 для Windows Server 2008 (KB4483187, KB4483230, KB4483234, KB 4483235, KB4483232, KB4483228, KB4483229 и KB4483187).

Теги: CSS, Explorer Windows Internet можно четыре