Уязвимость Internet Explorer создает угрозу удаленного выполнения кода


Недостаток во всех текущих версиях Internet Explorer из-за устаревшей поддержки ActiveX, который в настоящее время подвергается атаке, может дать злоумышленнику возможность получить контроль над вашим компьютером.

Уязвимость затрагивает Internet Explorer 6, 7, 8, 9, 10 и 11 и касается способа доступа Internet Explorer к объекту в памяти, который был удален или не был правильно выделен.

Microsoft выпустила рекомендацию по безопасности, в которой объясняется, что уязвимость может повредить память таким образом, чтобы злоумышленник мог выполнить произвольный код в контексте текущего пользователя в Internet Explorer. В частности, злоумышленник может разместить специально созданный веб-сайт, предназначенный для использования этой уязвимости через Internet Explorer, а затем убедить пользователя просмотреть этот веб-сайт.

Хотя Microsoft работает над одним из них, на данный момент нет обновлений программного обеспечения. Между тем он предлагает пользователям установить для параметров зоны безопасности Интернета и локальной интрасети в Internet Explorer значение «Высокий», чтобы блокировать элементы управления ActiveX и активные сценарии в этих зонах. Компания отмечает, что во всех случаях злоумышленнику придется убедить пользователей посетить веб-сайт, предназначенный для использования уязвимости.

ActiveX – это технология, которая поддерживается только IE, потому что это изобретение только Microsoft. Это не позволяет встраивать компоненты COM в браузер. Несмотря на то, что ActiveX заменяется .NET и более общими веб-стандартами, удивительное количество веб-сайтов и даже оборудования, такого как веб-камеры, по-прежнему используют компоненты ActiveX, что делает IE единственным браузером, который будет с ними работать. Следовательно, обнаружение ошибки в том, как IE обрабатывает освобождение объекта, будет большой проблемой для некоторых пользователей.

Гораздо более серьезной проблемой является тот факт, что необходимость продолжать поддерживать ActiveX в новой версии IE означает, что все семейство уязвимо для проблемы – и вряд ли код будет обновляться со времен IE 6.

Хотя для текущих версий Windows будет выпущен патч, любой, кто использует Windows XP, не получит обновления, поскольку поддержка XP прекратилась 8 апреля.

Браузеры, отличные от IE, такие как Chrome или Firefox, не уязвимы для атаки просто потому, что они не поддерживают ActiveX, поэтому представляют собой безопасную альтернативу не только для приверженцев XP, но и для любого пользователя Windows – если, конечно, вам не нужно Поддержка ActiveX.


Добавить комментарий