Разработчики Microsoft выпустили внеочередной патч, устраняющий критическую 0-day уязвимость в Internet Explorer (CVE-2018-8653). Проблему нашли специалисты из Google Threat Analysis Group и они же сообщили, что брешь уже находится под атакой.
Уязвимость связана с тем, как скриптовый движок браузера обрабатывает объекты в памяти. Злоумышленник может спровоцировать повреждение данных в памяти, таким образом выполнив на уязвимой машине произвольный код. Проблема осложняется тем, что уязвимость можно эксплуатировать удаленно, скажем, заманив жертву на вредоносный сайт или через приложения, использующие в работе скриптовый движок IE (к примеру, так делают программы из пакета Office).
Хотя код злоумышленника будет выполнен с привилегиями текущего пользователя, стоит заметить, только за последние четыре месяца Microsoft исправила четыре другие уязвимости нулевого дня, связанные с эскалацией привилегий (CVE-2018-8611, CVE-2018-8589, CVE-2018-8453, CVE-2018-8440). Таким образом, если потенциальная жертва атакующих устанавливает обновления не слишком часто, свежую проблему в IE можно скомбинировать с другими багами, что позволит злоумышленнику повысить привилегии в системе.
Обновления вышли для Internet Explorer 11 для Windows 10, Windows 8.1 и Windows 7 SP1,а также для Internet Explorer 10 для Windows Server 2012 и Internet Explorer 9 для Windows Server 2008 (KB4483187, KB4483230, KB4483234, KB 4483235, KB4483232, KB4483228, KB4483229 и KB4483187).