Microsoft ostrzega przed 0‑day w Internet Explorerze. Póki co brak patcha
Microsoft poinformował, że odkrył poważną podatność dotyczącą przeglądarki Internet Explorer i silnika skryptującego jscript. Luka pozwala na zdalne wykonaniu kodu, wykorzystując błąd przeglądarce i uzyskanie tych samych uprawnień, które ma zalogowany użytkownik. Jeśli ma uprawnienia administratora, to atakujący może uzyskać praktycznie nieograniczoną kontrolę nad komputerem, oglądać wszystkie dane, instalować programy, tworzyć konta.
W notce bezpieczeństwa ADV200001 Microsoft informuje, że do wykonania ataku wystarczy skłonienie ofiary do odwiedzenia odpowiednio przygotowanej strony internetowej z przeglądarki Internet Explorer.
Uzyskanie, poprzez lukę w systemie takich samych uprawnień, które ma użytkownik niesie za sobą olbrzymie ryzyko utraty wrażliwych danych użytkownika. Brak zabezpieczenia przez właściciela sprzętu jest w obecnych czasach olbrzymim zaniedbaniem.
Podatność dotyczy różnych wersji programów Internet Explorer 9,10 i 11 na systemach Windows 7, 8.1 i 10, Windows Server 2008, 2012, 2019 i 2016. Microsoft informuje też, że jest świadom pojawiających się ataków wykorzystujących tę podatność, ale na razie nie wypuścił patcha łatającego lukę. Z notki można wywnioskować, że patch będzie dostępny w następny Update Tuesday, czyli drugi wtorek miesiąca. W międzyczasie Microsoft oferuje działania zapobiegawcze.
