Microsoft полгода не может закрыть критическую уязвимость в Internet Explorer

Дыра в Internet Explorer 8 позволяет хакеру получить полный контроль над системой после того, как жертва посетит веб-сайт с внедренным в него вредоносным кодом.

После получения доступа к ПК, злоумышленник получает те же права, что и пользователь. В случае если права пользователя ограничены в системе, у злоумышленника будет меньше возможностей по ее взлому.

Атака начинается с рассылки электронных писем, в которых содержится ссылка на вредоносный сайт. При этом хакеры используют скрипты и сценарии ActiveX. В популярных почтовых приложениях Microsoft Outlook, Microsoft Outlook Express и Windows Mail присутствует зашита от выполнения таких компонентов, но вне этих приложений, пользователь становится беззащитным.

По информации ресурса, Microsoft была уведомлена об уязвимости 11 октября 2013 г., однако с тех пор так ее и не устранила. В соответствии с политикой ZDI, спустя 180 дней сайт публично объявил о «дыре». 8 мая 2014 г. сайт ZDI предупредил Microsoft о предстоящем раскрытии информации.

Microsoft не устраняет критическую уязвимость в IE 8 с октября

В период ожидания обновления от Microsoft специалисты советуют максимально повысить уровень защиты в настройках браузера для блокировки скриптов и сценариев ActiveX, а также настроить браузер таким образом, чтобы он просил у пользователя разрешение на их запуск.

В последний раз о критической уязвимости в IE в конце апреля. Ей было присвоено обозначение CVE-2014-1776. Особенностью CVE-2014-1776 стало то, что эта дыра была найдена во всех версиях браузера — начиная с шестой и заканчивая одиннадцатой.