Компания Microsoft сообщила об уязвимости нулевого дня в браузере Internet Explorer, которую уже эксплуатируют для «ограниченных целевых атак». Проблема получила идентификатор CVE-2020-0674 и связана с уязвимостью в браузере Firefox, о которой стало известно в начале января. Судя по всему, упомянутые «ограниченные атаки» являются частью более крупной хакерской кампании, которая также включала в себя атаки на пользователей Firefox.
Первыми эту уязвимость «проспойлерили» еще эксперты компании Qihoo 360, которые опубликовали твит, где заявили, будто 0-day в Firefox использовался в связке с еще одной проблемой нулевого дня в Internet Explorer. Позже эта запись была удалена, и представители Microsoft тогда воздержались от комментариев.
Теперь специалисты Microsoft описывают уязвимость нулевого дня как проблему удаленного исполнения кода (RCE), которая связана с работой скриптового движка IE и нарушением целостности информации памяти. Эксплуатация проблемы позволяет злоумышленнику выполнить произвольный код в контексте текущего пользователя. Для этого достаточно заманить пользователя IE на вредоносный сайт.
По данным Microsoft, уязвимость влияет на Internet Explorer 9, 10 и 11 при работе в Windows 7, 8.1, 10, Server 2008, Server 2012, Server 2016 и Server 2019. При этом патча для свежей проблемы пока нет, и вместо исправления Microsoft опубликовала рекомендации по безопасности (ADV200001), позволяющие снизить риски. Сообщается, что работа над патчем уже ведется, однако точная дата его выпуска пока не названа.
