18 августа, неделю спустя после августовского вторничного патча, компания Microsoft представила внеочередное обновление безопасности (бюллетень MS15-093), относящееся ко всем версиям операционных систем Windows. Это уже второй месяц подряд, на протяжении которых Microsoft выпускает внеочередные патчи.
Причиной на сей раз стала критическая уязвимость (для серверных систем обновление обозначено важным, поскольку IE в них работает в режиме расширенной безопасности) всех поддерживаемых версий веб-браузера Internet Explorer. Из-за неё при посещении специально созданных злоумышленниками страниц или при открытии писем электронной почты на компьютерах дистанционно может быть выполнен вредоносный код.
Уязвимость нулевого дня CVE-2015-2502 относится к механизму обработки браузером объектов в памяти. При её успешном использовании возможно повреждение содержащегося в памяти контента и атакующий получает те же привилегии, что и владелец устройства, поэтому входящие в систему с правами администратора пользователи находятся в группе повышенного риска.
Microsoft уже обнаружила основанные на этой уязвимости эксплоиты. Новый браузер Edge операционной системы Windows 10 данной уязвимостью не затронут. Обновление доступно в центре обновлений Windows.
Уязвимость была обнаружена исследователем из компании Google Клементом Лесинье.