Критическая уязвимость из бета-версии IE8 перекочевала в финальную
11770
На состоявшейся на прошлой неделе хакерской конференции CanSecWest демонстрировалась уязвимость в Internet Explorer 8 (IE8), впервые обнаруженная в бета-версии и перекочевавшая из неё в финальную.
Microsoft подтвердила наличие уязвимости в официально выпущенной версии браузера, сказала Терри Форслоф (Terri Forslof), исследователь из TippingPoint, которая спонсировала семинар Pwn2Own, где специалисты соревновались в попытках найти ошибки и уязвимости в браузерах и различных мобильных устройствах.
Подробности об уязвимости IE8, обнаруженной хакером по прозвищу "Нильс", неизвестны, однако не исключено, что она может быть признаком серьёзной проблемы, заявила Форслоф.
Эта уязвимость относится к разряду "щелкнул и получил контроль", сообщила она журналу SCMagazineUS.com во вторник. "Вы щелкаете по ссылке в сообщении электронной почты или просматриваете веб-сайт, и ваш компьютер заражается. Это соответствует критическому уровню по собственной шкале Microsoft для уязвимостей".
Уязвимость была продемонстрирована накануне появления в сети финальной версии IE8 для загрузки всеми желающими.
"Как только была обнаружена уязвимость, мы немедленно известили Microsoft, сказала Форслоф. "Затем мы воспроизвели ситуацию и проверили, действительно ли уязвимость существует. Мы также перепроверили всё на финальной версии IE8 на следующее утро и убедились в том, что проблема всё ещё присутствует".
Судя по всему, уязвимости не мешают ни DEP (абб. от Data Execution Prevention), ни ASLR (абб. от Address Space Layout Randomization) — функции, добавленные в IE8, чтобы избежать уязвимостей, вызывающих повреждение памяти.
Со своей стороны, Microsoft заявила в , что финальная версия Internet Explorer 8 для Windows Vista блокирует механизм обхода .NET DEP+ASLR, используемый злоумышленниками в сети. Однако это сообщение, скорее всего, относится к различным механизмам обхода, которые демонстрировались исследователями на конференции Black Hat в Лас Вегасе в прошлом году.
К тому же в сообщении упоминается только Vista. Уязвимость, обнаруженная на CanSecWest, демонстрировалась на бета-версии Windows 7, что может придать проблеме новую степень значимости.
Пресс-секретарь Microsoft заявила, что пока не готова комментировать ситуацию.
Источник:
Перевод: Galaxer
Комментарии
По теме
- Microsoft готовит экстренный патч для уязвимости нулевого дня в Internet Explorer
- С Anniversary Update некоторые изменения коснутся и Internet Explorer
- NetMarketShare: Chrome обогнал IE и стал самым популярным десктопным браузером
- Обновлено: 12 января прекратится поддержка браузеров Internet Explorer устаревших для конкретной версии Windows
- C 12 января 2016 года прекращается поддержка устаревших версий IE
- В IE от Windows Vista до Windows 10 найдена серьезная уязвимость
- Internet Explorer вместе с Яндекс и Google признан экстремистским
- Вышло исправление критической уязвимости для IE с 7 по 11 версию
- HP ZDI опубликовала информацию о четырех новых уязвимостях в IE
- Microsoft отказывается устранять очередную уязвимость в IE