Критическая уязвимость из бета-версии IE8 перекочевала в финальную
На состоявшейся на прошлой неделе хакерской конференции CanSecWest демонстрировалась уязвимость в Internet Explorer 8 (IE8), впервые обнаруженная в бета-версии и перекочевавшая из неё в финальную.
Microsoft подтвердила наличие уязвимости в официально выпущенной версии браузера, сказала Терри Форслоф (Terri Forslof), исследователь из TippingPoint, которая спонсировала семинар Pwn2Own, где специалисты соревновались в попытках найти ошибки и уязвимости в браузерах и различных мобильных устройствах.
Подробности об уязвимости IE8, обнаруженной хакером по прозвищу "Нильс", неизвестны, однако не исключено, что она может быть признаком серьёзной проблемы, заявила Форслоф.
Эта уязвимость относится к разряду "щелкнул и получил контроль", сообщила она журналу SCMagazineUS.com во вторник. "Вы щелкаете по ссылке в сообщении электронной почты или просматриваете веб-сайт, и ваш компьютер заражается. Это соответствует критическому уровню по собственной шкале Microsoft для уязвимостей".
Уязвимость была продемонстрирована накануне появления в сети финальной версии IE8 для загрузки всеми желающими.
"Как только была обнаружена уязвимость, мы немедленно известили Microsoft, сказала Форслоф. "Затем мы воспроизвели ситуацию и проверили, действительно ли уязвимость существует. Мы также перепроверили всё на финальной версии IE8 на следующее утро и убедились в том, что проблема всё ещё присутствует".
Судя по всему, уязвимости не мешают ни DEP (абб. от Data Execution Prevention), ни ASLR (абб. от Address Space Layout Randomization) — функции, добавленные в IE8, чтобы избежать уязвимостей, вызывающих повреждение памяти.
Со своей стороны, Microsoft заявила в соответствующем сообщении блога, что финальная версия Internet Explorer 8 для Windows Vista блокирует механизм обхода .NET DEP+ASLR, используемый злоумышленниками в сети. Однако это сообщение, скорее всего, относится к различным механизмам обхода, которые демонстрировались исследователями на конференции Black Hat в Лас Вегасе в прошлом году.
К тому же в сообщении упоминается только Vista. Уязвимость, обнаруженная на CanSecWest, демонстрировалась на бета-версии Windows 7, что может придать проблеме новую степень значимости.
Пресс-секретарь Microsoft заявила, что пока не готова комментировать ситуацию.
Источник: http://thevista.ru/
(Нет оценок)
Загрузка ...