Microsoft ostrzega przed 0‑day w Internet Explorerze. Póki co brak patcha
Microsoft poinformował, że odkrył poważną podatność dotyczącą przeglądarki Internet Explorer i silnika skryptującego jscript. Luka pozwala na zdalne wykonaniu kodu, wykorzystując błąd przeglądarce i uzyskanie tych samych uprawnień, które ma zalogowany użytkownik. Jeśli ma uprawnienia administratora, to atakujący może uzyskać praktycznie nieograniczoną kontrolę nad komputerem, oglądać wszystkie dane, instalować programy, tworzyć konta.
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
W notce bezpieczeństwa ADV200001 Microsoft informuje, że do wykonania ataku wystarczy skłonienie ofiary do odwiedzenia odpowiednio przygotowanej strony internetowej z przeglądarki Internet Explorer.
Uzyskanie, poprzez lukę w systemie takich samych uprawnień, które ma użytkownik niesie za sobą olbrzymie ryzyko utraty wrażliwych danych użytkownika. Brak zabezpieczenia przez właściciela sprzętu jest w obecnych czasach olbrzymim zaniedbaniem.
Podatność dotyczy różnych wersji programów Internet Explorer 9,10 i 11 na systemach Windows 7, 8.1 i 10, Windows Server 2008, 2012, 2019 i 2016. Microsoft informuje też, że jest świadom pojawiających się ataków wykorzystujących tę podatność, ale na razie nie wypuścił patcha łatającego lukę. Z notki można wywnioskować, że patch będzie dostępny w następny Update Tuesday, czyli drugi wtorek miesiąca. W międzyczasie Microsoft oferuje działania zapobiegawcze.
