Как стало известно на днях, Microsoft так и не исправила уязвимость веб-браузера Internet Explorer 8, о которой в октябре 2013 года сообщил бельгийский исследователь Питер Ван Экхутт. Рассказывает об этом сообщение в рамках программы Zero Day Initiative (ZDI) компании HP, направленной на обнаружение подобных уязвимостей в программных продуктах. Напомним, что именно эта версия браузера является наиболее используемой на данный момент с долей 21,14%, несмотря на свой пятилетний возраст.
В докладе говорится, что уязвимость позволяет атакующему выполнять вредоносный код на компьютере с установленным браузером IE8, когда пользователь с его помощью посещает специально созданный веб-сайт. Ссылку на сайт он может получить по электронной почте или в программах мгновенного обмена сообщениями. Результатом может стать обретение злоумышленником тех же прав доступа к ПК, что у владельца компьютера.
Обычно в рамках программы ZDI информацию относительно обнаруженных уязвимостей принято хранить в секрете на протяжении полугода, давая разработчикам время выпустить обновление. В данном случае прошло уже 7 месяцев, однако обновления до сих пор не представлено. 8 мая представители ZDI сообщили Microsoft, что собираются опубликовать данные.
О том, когда проблема будет решена, пока нет данных, хотя Microsoft говорит о ведущейся в этом направлении работе. Компания также сообщает, что случаев реального использования уязвимости пока не зафиксировано. Пользователям этой версии браузера они рекомендуют в настройках браузера на вкладке «Безопасность» выставить уровень «Высокий», блокировав тем самым ActiveX Controls и Active Scripting, а также установить приложение Enhanced Mitigation Experience Toolkit.