Хакер #305. Многошаговые SQL-инъекции
Microsoft предупреждает пользователей Internet Explorer, что злоумышленники начали эксплуатировать новую, прежде неизвестную 0day-уязвимость в браузере IE. Сейчас специалисты компании работают над выпуском патча, который попадет в систему автоматических обновлений. Но опасность настолько велика, что пользователей просят самостоятельно установить заплатку Fix It, которую выпустили в экстренном порядке. Перед ее установкой нужно накатить сентябрьский патч KB2870699.
Уязвимость CVE-2013-3893 относится к браузерам Internet Explorer 6-10 под всеми версиями ОС, кроме Server Core, и допускает удаленное исполнение кода. Согласно официальному описанию, сбой возникает из-за неправильного доступа браузера к объекту в памяти, который был удален или неправильно размещен. Эксплойт с удаленным исполнением кода означает, что злоумышленник может установить вредоносное ПО на компьютере пользователя, просто направив его на постороннюю веб-страницу (атака drive-by).
Установка заплатки Fix It ограничивает функциональность браузера, это не полноценный патч, а всего лишь временное решение.
«По завершении расследования Microsoft примет соответствующие действия для защиты наших пользователей, — сказано в официальном заявлении. — Эти действия могут включать в себя выпуск патча в стандартном ежемесячном комплекте или внеочередное обновление безопасности, в зависимости от необходимости». За прошлый месяц Microsoft исправила 47 уязвимостей, в том числе 10 критических уязвимостей в Internet Explorer.
Специалисты поясняют, что в данный момент атака узко таргетирована и затрагивает только японские сайты, но в любой день эксплойт может появиться и в других странах, так что Microsoft должна пристально следить за ситуацией и своевременно запустить автоматическое обновление браузеров.