19 декабря компания Microsoft выпустила внедочередное обновление безопасности для всех версий Windows 10, Windows 8.1 и Windows 7, которое включают исправления уязвимости в Internet Explorer, которая эксплуатировалась в сети.
Для исправления уязвимости нулевого дня в Internet Explorer доступны следующие накопительные обновления: KB4483214, KB4483235, KB4483234, KB4483230, KB4483232, KB4483228, KB4483229 и KB4483187
Корпорация поблагодарила Клемента Лесина (Clement Lecigne) из отдела безопасности Google за обнаружение уязвимости нулевого дня в Internet Explorer.
Согласно выпущенному бюллетеню безопасности, уязвимость в IE позволяла злоумышленнику исполнять вредоносный код на компьютере жертвы.
Уязвимость, получившая идентификатор CVE-2018-8653, могла приводить к компрометации пользовательской машины с помощью специально созданного веб-ресурса, который поставляла вредоносный код на целевой компьютер.
Данная проблема безопасности могла эксплуатироваться с помощью приложений, которые оснащены встроенным движком обработки скриптов из IE для рендеринга веб-контента. Подобные приложения входят в пакет программ продуктивности Microsoft Office.
Примечательно, что атакующий получал такие же права, которыми обладал целевой пользователь. Таким образом, если жертва использовала аккаунт с ограниченным доступом, то ущерб сводился к выполнению базовых операций, которых, впрочем, может быть достаточно для установки вредоносного ПО на атакуемый компьютер.
На самом деле, не все так радужно. За последние 4 месяца Microsoft пропатчила 4 другие уязвимости нулевого дня, которые позволяли выполнять «повышение привилегий».
Это означает, что, если жертва не установила патчи для других четырех уязвимостей, злоумышленник мог дополнить эксплуатацию ошибки IE эксплуатацией одной из четырех ранее обнаруженных уязвимостей (CVE-2018-8611, CVE-2018-8589, CVE- 2018-8453, CVE-2018-8440), чтобы получить доступ на уровне SYSTEM, и немедленно установить полный контроль над целевых компьютером.
Вот почему крайне важно, чтобы пользователи регулярно обновляли свои системы, устанавливая новейшие обновления безопасности от Microsoft.
По материалам ZDNet
Последние статьи #Windows
• Обновление KB5062673 (Build 26120.5733) для Windows 11, версия 24H2 (Beta)
• Обновление KB5062673 (Build 26200.5733) для Windows 11, версия 25H2 (Dev)
• Microsoft прекращает поддержку Windows 11 SE — урезанной версии ОС для недорогих ПК
• Менеджер пакетов UniGetUI для Windows 10 и Windows 11 получил функцию самовосстановления при повреждениях
• Пользователи массово переходят на Windows 11 на фоне скорого окончания поддержки Windows 10
• NVIDIA продлевает поддержку драйверов Game Ready для Windows 10 до октября 2026 года