Кампанія Microsoft на днях пацвердзіла наяўнасць крытычнай, не зачыненай уразлівасці ў яе браўзэрах Internet Explorer. Дадзеная ўразлівасць дазваляе атакаваламу выдалена запусціць на кампутары ахвяры недазволены код, прама ўсярэдзіне працэсу iexplore.exe. Код з доказам магчымасці выкарыстання дадзенай уразлівасці ўжо даступны ў Інтэрнэт. Дадзены код абыходзіць ASLR і DEP. Уразлівасць дазваляе атакаваламу атрымаць кіраванне над кампутарам ахвяры. Праблема выкліканая памылкай у бібліятэцы mshtml.dll. Яна можа ўзнікаць пры апрацоўцы вэб-старонак з CSS з правіламі “@import”. Напад з выкарыстаннем дадзенай уразлівасці хакеры могуць вырабляць пасродкам адмыслова створаных вэб-старонак. Па дадзеных Microsoft, праблема звязаная з стварэннем падчас функцый CSS у Internet Explorer неинициализированной памяці. Пры вызначаных умовах дадзеная памяць можа выкарыстоўвацца атакавалым (пасродкам адмыслова створанай вэб-старонкі) для выдаленага выканання кода. Дадзеная памылка прысутнічае ў Internet Explorer 8 на Windows 7, Windows Vista SP2 і Windows XP SP3. Таксама пад яе дзеянне пападаюць Internet Explorer 6 і 7 на Windows XP SP3. Дарэчы, кампаніі Microsoft пакуль не вядома аб актыўным выкарыстанні дадзенай уразлівасці для нападаў. У якасці часавага рашэння праграмны гігант прапанаваў карыстачам сваіх браўзэраў улучыць файрволл і альбо ўсталяваць яе , альбо наладзіць параметр бяспекі зон Інтэрнэту і ўнутраных сетак на рэжым “Высока”, для блакавання ў гэтых зонах скрыптоў і кіраванняў ActiveX. Патч жа для гэтай уразлівасці магчыма прыйдзе з штомесячным абнаўленнем бяспекі, або нават раней, у залежнасці ад патрэб карыстачоў. Тэгі: Microsoft, Internet Explorer 8
рэкамендуем прачытаць таксама
- Microsoft ухіліла “дзюру” у Internet Explorer
- У 20 гадзін мск Microsoft выкладзе для запампоўкі Internet Explorer 8
- Microsoft дазволіла выдаляць Internet Explorer 8 з Windows 7
- Microsoft рыхтуецца прадставіць другую бэта-версію Internet Explorer 8
- Фінальная версія IE8 не будзе ўключаная ў пре-бэта Windows 7