Microsoft выпускает экстренное обновление для Internet Explorer

Microsoft выпускает экстренное обновление для Internet Explorer

Официально Internet Explorer мертв. Microsoft прекратила работу с браузером начиная с IE11 и заменила его на Edge. IE, тем не менее, по-прежнему поддерживается вместе с операционными системами, на которых он работал, что означает, что он будет получать обновления безопасности в течение всего срока службы Windows 7 и 8. Microsoft только что выпустила экстренное обновление безопасности для браузера, чтобы исправить его. говорит, что уже находится в активной эксплуатации, хотя подробности о том, как именно он используется, не были предоставлены.

Компания опубликовала CVE-2018-8653, в котором описывается атака, в которой уязвимость удаленного выполнения кода присутствует в обработчике сценариев IE, и как она обрабатывает объекты в памяти. Успешно выполнив атаку, злоумышленник получит те же привилегии, что и текущий вошедший в систему пользователь, включая возможность добавлять и удалять программы, просматривать или изменять данные или создавать новые учетные записи пользователей с полными правами администратора. Обновление закрывает дыру, изменяя способ обработки сценариями объектов в памяти.

Microsoft, в частности, предостерегает от потенциальных веб-уязвимостей, однако пишет:

В случае веб-атаки злоумышленник может разместить специально созданный веб-сайт, предназначенный для использования уязвимости через Internet Explorer, а затем убедить пользователя просмотреть веб-сайт, например, отправив электронное письмо.

Microsoft узнала об эксплойте от инженера Google Клемента Лециня, сообщает ComputerWorld. Эта ошибка является классическим нулевым днем, то есть она уже в дикой природе и эксплуатируется - вот почему Microsoft выпускает патч сейчас, вместо того, чтобы ждать обычного цикла обновления 8 января.

Это никогда не будет смешным. Художник неизвестен. Самая ранняя известная ссылка.
Это никогда не будет смешным. Художник неизвестен. Самая ранняя известная ссылка.

Уязвимость затрагивает версию IE11, поставляемую с Windows 7 для Windows 10, а также Windows Server 2012, 2016 и 2019. IE9 (Windows Server 2008) и IE10 (Windows Server 2012) также подвержены уязвимости. Предположительно, на любые старые установки IE в Windows 7 также влияют, но IE11 - единственная версия, которая все еще поддерживается. Пользователи с Центром обновления Windows уже должны были получить исправление безопасности, но пользователи Windows 10 могут вручную проверить наличие обновлений здесь. Другие пользователи могут вручную проверить здесь.

Для тех, кто все еще использует IE11 по любой причине, пользователям обычно рекомендуется прекратить это делать, перейдя на Edge, Chrome или Firefox. К сожалению, даже в 2018 году есть еще несколько сайтов, которые хорошо работают только в IE. Это косвенный пример того, почему позволить любому отдельному браузеру доминировать на рынке - плохая идея (по отношению к Chrome) - мы в буквальном смысле все еще имеем дело с тем фактом, что IE когда-то занимал 95% рынка браузеров, даже хотя это не было правдой в течение почти 15 лет.

Читать далее

Экстренное обновление Windows удаляет патч для исправления ошибок в Intel
Экстренное обновление Windows удаляет патч для исправления ошибок в Intel

Корпорация Майкрософт выпустила редкий патч вне цикла для систем Windows, который удаляет патч Intel Spectre. Это должно быть неловко для Intel.

Mozilla выпускает экстренный патч Firefox с нулевым днем
Mozilla выпускает экстренный патч Firefox с нулевым днем

Mozilla советует всем пользователям Firefox как можно скорее обновиться до последней версии браузера. Компания только что узнала об эксплойте нулевого дня, затрагивающем Firefox, а это значит, что его активно используют гнусные интернет-силы.