Microsoft седьмой месяц оставляет неустраненной критическую уязвимость в веб-браузере Internet Explorer 8, информирует ресурс Zero Day Initiative, обозначивший брешь как CVE-2014-1770. Подробности об этой ситуации сообщает портал CNews.ru.
Microsoft больше полугода не устраняет серьезную уязвимость в Internet Explorer
Уязвимость, обнаруженная в Internet Explorer 8, позволяет хакеру получить полный контроль над системой после того, как жертва посетит веб-сайт с внедренным в него вредоносным кодом. После этого злоумышленник получает те же права, что и пользователь. Если учетная запись владельца компьютера наделена администраторскими правами, то возможности хакера по вмешательству в работу системы становятся неограниченными.
Атака начинается с рассылки электронных писем, в которых содержится ссылка на вредоносный сайт. При этом хакеры используют скрипты и сценарии ActiveX. В популярных почтовых приложениях Microsoft Outlook, Microsoft Outlook Express и Windows Mail присутствует зашита от выполнения таких компонентов, но вне этих приложений пользователь становится беззащитным.
Как уточняет портал Zero Day Initiative, Microsoft была уведомлена об уязвимости 11 октября 2013 года, однако с тех пор так ее и не устранила. В соответствии с действующими правилами, спустя 180 дней сайт публично объявил о существовании уязвимости. При этом 8 мая сайт предупредил Microsoft о предстоящем раскрытии информации.
В последний раз о критической уязвимости в IE сообщалось в конце апреля. Ей было присвоено обозначение CVE-2014-1776. Особенностью CVE-2014-1776 стало то, что эта дыра была найдена во всех версиях браузера, начиная с шестой и заканчивая 11-й. Наибольшее число атак пришлось на компьютеры, на которых были установлены девятая и 11-я версии IE. Тогда же представители Министерства внутренней безопасности США призвали пользователей отказаться от Internet Explorer в пользу менее уязвимых браузеров.