Microsoft работает над устранением критической уязвимости в Internet Explorer
Представители корпорации Microsoft официально подтвердили наличие в веб-обозревателе Internet Explorer критической уязвимости, эксплуатация которой может скомпрометировать данные пользователя, а хакеру выполнить произвольный код на удаленно машине.
Напомним, что выявленная уязвимость позволяет хакеру получить управление над целевым компьютером посредством использования ошибки программистов в работе библиотеки mshtml.dll. Используя особый CSS-скрипт, хакер заманивает пользователя на особую веб-страницу, содержащую коды CSS с правилами “@import”, обработка которых в некоторых случаях и позволяет организовать брешь в защите компьютера.
На некоторых Интернет-ресурсах уже доступен специальный код, подтверждающий возможность использования данной уязвимости .Данный код обходит ASLR и DEP.
Из отчета Microsoft, уязвимость связана с созданием в ходе обработки функции CSS особой неинициализированной памяти, которую при особых обстоятельствах можно использовать под свои нужды, чем и пользуются злоумышленники для удаленного выполнения кода. Также специалисты корпорации отмечают, что хотя уязвимость и не устранена, фактов ее активной эксплуатации не отмечено. В качестве временного решения рекомендуется работать в Интернете со включенным файрволом, либо выставить параметр безопасности зон Интернета и внутренних сетей в режиме “Высоко”, что позволит блокировать в этих зонах ActiveX.
Работы над устранением уязвимости уже ведутся и, возможно, мы получим обновленный IE уже со следующим набором патчей в январе.
Выше приведенная уязвимость содержится в браузерах Internet Explorer 6,7 и 8 под управлением операционных систем Windows XP SP3, Windows Vista SP2 и Windows 7.
