Новая уязвимость Internet Explorer эксплуатируется in-the-wild

    Компания Microsoft выпустила уведомление безопасности (SA 2963983), в котором сообщается, что новая 0day Remote Code Execution уязвимость CVE-2014-1776 присутствует во всех версиях браузера MS Internet Explorer 6-11 и используется атакующими в направленных атаках для доставки вредоносного кода (drive-by download). Атакующие используют специальным образом сформированную веб-страницу и объект Flash Player для эксплуатации этой уязвимости.

    Our initial investigation has revealed that Enhanced Protected Mode, on by default for the modern browsing experience in Internet Explorer 10 and Internet Explorer 11, as well as Enhanced Mitigation Experience Toolkit (EMET) 4.1 and EMET 5.0 Technical Preview, will help protect against this potential risk.


    image

    Таким образом, пользователи Internet Explorer 10 & 11 на Windows 7 x64 & Windows 8/8.1 с включенной настройкой «Расширенный защищенный режим» (Enhanced Protected Mode, EPM) защищены от действий этого эксплойта. Кроме этого, пользователи EMET 4.1 и 5.0 TP также являются защищенными. Эти версии EMET включают процесс браузера в список защищаемых по умолчанию. Напомним, что EPM усиливает иммунитет браузера к эксплойтам за счет запуска процессов вкладок в специальном ограниченном режиме AppContainer на Windows 8+ (AppContainer также используется по умолчанию для всех приложений Modern UI).


    Рис. Процесс браузера в списке защищаемых в настройках EMET (жирным шрифтом выделены приложения, которые включаются в список по умолчанию).

    Microsoft выпустит соответствующее обновление, которое закрывает эту уязвимость в следующем patch tuesday, либо как out-of-cycle, т. е. внепланово.


    Рис. Самый безопасный режим работы IE11 с включенным sandboxing (Расширенный защищенный режим) и 64-битными процессами для вкладок (anti-heap-spray) на Windows 8.1 x64.
    ESET NOD32
    132,00
    Компания
    Поделиться публикацией

    Похожие публикации

    Комментарии 11

      +14
      Почему как Windows/IE, так сразу RCE? Это специально так надо софт писать, чтобы везде оставались именно RCE?
        +3
        Потому что какая-нибудь компания (типа NSA) вайнит МСу что какой-то хак их уволенного программиста больше не работает в их софте 10-летней давности. Естественно менеджеры не дают вырезать эти дыры.
        +12
        Получается, что ходить из-под IE с XP теперь совершенно небезопасно. И патча не будет.
          +14
          Мне кажется, что безопасность в принципе не заботит тех, кто ходит из-под xp через IE (сайты российских гос. контор не в счёт. Тут вопрос к сайтописателям).
            0
            Увы. Выбора нет. Корпоративные политики предписывают использовать IE. А ставить что-то больше XP (из Windows, исходя из тех же корпоративных политик) на Celeron 2000 с гигабайтом памяти — сомнительное удовольствие.
              0
              Celeron 2000 и 1ГБ памяти будет вполне комфортно работать и под 7кой. К примеру у меня есть живой нетбук EeePC 904 HD — там одноядерный Celeron M 900 МГц, и 7ка на нём чудесно работает, без Aero правда ну и ладно, но тут всё понятно ибо Intel GMA 915 и дрова 2007 года.

              p.s: Chrome 34 с включённым флагом ignore_gpu_blacklist более чем сносно работает. Word, и прочий офис тоже.
            +12
            Почему только теперь? Ходить вообще небезопасно.
            –8
            .
              +4
              Если я понимаю, то EPM просто изолирует процесс от остальной системы. При этом после выполнения эксплоита код выполняется с правами браузера. В частности, может слить всю память процесса на удалённый сервер (как показывает heartbleed это очень вкусная штука).

              Более того, если эксплоит будет достаточно аккуратно написан, чтобы не ронять браузер, то дальше в этой вкладке можно начинать резвиться — например, показывать фишинговые страницы, рассылать спам/досить и т.д.
                0
                Т.е. вся шумиха насчет самого безопасного браузера не очень обоснована?
                  0
                  Это моё предположение — я не смотрел как оно работает и, тем паче, не пробовал выполнить код внутри приложения. В принципе, любой пользователь виндов может у себя попробовать подцепиться отладчиком и попробовать активировать сетевые функции (имитируя code injection).

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое