Недавно стало известно о новой незакрытой уязвимости в веб-браузере корпорации Microsoft – Internet Explorer.
Новая уязвимость, которую обнаружила компания по обеспечению информационной безопасности Vupen, позволяет удалённому пользователю полностью захватить контроль над "компьютером-жертвой". Проблема была обнаружена в системной библиотеке mshtml.dll, когда на веб-странице отображалось содержимое CSS (каскадная таблица стилей) с использованием правила "@import". Хакеры могут использовать эту уязвимость выполнив вредоносный код во время посещения ничего не подозревающим пользователем компьютера специально созданной веб-страницы. Уязвимость присутствует в Internet Explorer 8 в среде ОС Windows 7, Windows Vista SP2 и Windows XP SP3. Браузер Internet Explorer 6-й и 7-й версии в среде ОС Windows XP SP3 также может послужить "парадной дверью" для злоумышленников.
На данный момент новая уязвимость не имеет патча, который избавлял бы пользователей вышеперечисленных браузеров от опасности. Примеры программного кода можно посмотреть здесь. Пока ещё не совсем понятно, насколько масштабно начали пользоваться злоумышленники ново-выявленной уязвимостью в системе безопасности IE.
На прошлой неделе корпорацией Microsoft было объявлено, что она планирует выпустить большой сборник обновлений для своего ПО во вторник, 14 декабря. Софтверный гигант также планирует закрыть одну из новейших уязвимостей во всех поддерживаемых на данный момент веб-браузерах Internet Explorer. Интересно то, что исследователи на прошлой неделе предупредили Редмонд о возможности успешного обхода защищённого режима (Protected Mode) браузеров Internet Explorer 7 и 8, на что в Microsoft ответили, что такой обход не является уязвимостью их ПО, и что защищённый режим IE не является полнофункциональным средством обеспечения безопасности.
На момент публикации данного материала от Microsoft не поступили объяснения по поводу найденной уязвимости в CSS подсистеме IE.