Аналитики китайской ИБ-компании Qihoo 360 рассказали, что майский патч для опасной проблемы CVE-2018-8174 в VBScript, которую можно было эксплуатировать через Internet Explorer, был неэффективен.
Напомню, что критический баг CVE-2018-8174 был обнаружен в апреле текущего года. Данная проблема оказалась опасной для всех версий Windows и, в сущности, являлась производной от уязвимости CVE-2016-0189, обнаруженной в составе VBScript еще два года назад. Хуже того, новая вариация старой уязвимости быстро обрела популярность среди злоумышленников. Так, эксплоит взяли на вооружение такие известные эксплоит-киты, как RIG и Magnitude.
Инженеры Microsoft выпустили исправление для CVE-2018-8174 еще в мае 2018 года, однако теперь стало известно, что патч был неэффективен. Специалисты Qihoo 360 пишут, что после релиза исправления им удалось обнаружить две дополнительные проблемы, о которых они незамедлительно сообщили разработчикам Microsoft. Новые баги были объединены под идентификатором CVE-2018-8242, и дополнительные «заплатки» для них появились в июле, так что теперь китайские исследователи получили возможность рассказать о найденных проблемах публично.
Специалисты Qihoo 360 подтверждают, что теперь проблема CVE-2018-8174, наконец, была устранена окончательно. Однако июльский «патч для патча» спровоцировал появление новой проблемы: утечки памяти. Исследователи подчеркивают, что эта утечка – исключительно вопрос производительности, но не безопасности.
Вместе с техническими деталями новых проблем эксперты Qihoo 360 опубликовали и своеобразное «обращение» к своим коллегам по цеху, напомнив всем ИБ-специалистам, что их работа не заканчивается с релизом исправления. После выхода патча необходимо провести аудит «заплатки» и убедиться, что исходная уязвимость была полностью устранена, а новое исправление ничего не «сломало» и не породило новые баги.
