Компания Microsoft сообщила об уязвимости нулевого дня в браузере Internet Explorer, которую уже эксплуатируют для «ограниченных целевых атак». Проблема получила индентификатор CVE-2020-0674 и связана с уязвимостью в браузере Firefox, о которой стало известно в начале января. Судя по всему, упомянутые «ограниченные атаки» являются частью более крупной хакерской кампании, которая также включала в себя атаки на пользователей Firefox.
Первыми эту уязвимость «проспойлерили» еще эксперты компании Qihoo 360, которые опубликовали твит, где заявили, будто 0-day в Firefox использовался в связке с еще одной проблемой нулевого дня в Internet Explorer. Позже эта запись была удалена, и представители Microsoft тогда воздержались от комментариев.
Теперь специалисты Microsoft описывают уязвимость нулевого дня как проблему удаленного исполнения кода (RCE), которая связана с работой скриптового движка IE и нарушением целостности информации памяти. Эксплуатация проблемы позволяет злоумышленнику выполнить произвольный код в контексте текущего пользователя. Для этого достаточно заманить пользователя IE на вредоносный сайт.
По данным Microsoft, уязвимость влияет на Internet Explorer 9, 10 и 11 при работе в Windows 7, 8.1, 10, Server 2008, Server 2012, Server 2016 и Server 2019. При этом патча для свежей проблемы пока нет, и вместо исправления Microsoft опубликовала рекомендации по безопасности (ADV200001), позволяющие снизить риски. Сообщается, что работа над патчем уже ведется, однако точная дата его выпуска пока не названа.
Первыми эту уязвимость «проспойлерили» еще эксперты компании Qihoo 360, которые опубликовали твит, где заявили, будто 0-day в Firefox использовался в связке с еще одной проблемой нулевого дня в Internet Explorer. Позже эта запись была удалена, и представители Microsoft тогда воздержались от комментариев.
Теперь специалисты Microsoft описывают уязвимость нулевого дня как проблему удаленного исполнения кода (RCE), которая связана с работой скриптового движка IE и нарушением целостности информации памяти. Эксплуатация проблемы позволяет злоумышленнику выполнить произвольный код в контексте текущего пользователя. Для этого достаточно заманить пользователя IE на вредоносный сайт.
По данным Microsoft, уязвимость влияет на Internet Explorer 9, 10 и 11 при работе в Windows 7, 8.1, 10, Server 2008, Server 2012, Server 2016 и Server 2019. При этом патча для свежей проблемы пока нет, и вместо исправления Microsoft опубликовала рекомендации по безопасности (ADV200001), позволяющие снизить риски. Сообщается, что работа над патчем уже ведется, однако точная дата его выпуска пока не названа.