Microsoft IE Zero-Day Flaw Could Leave Millions в опасности

HP показал уязвимость нулевого дня для Internet Explorer, один это сказало, что Microsoft приблизительно 180 дней назад все же все еще не фиксирована.Существует новая уязвимость нулевого дня для веб-браузера Internet Explorer Microsoft, который мог потенциально оставлять миллионы пользователей в опасности. В отличие от большинства нулевых дней, которые обычно раскрываются исследователями, которые обнаружили происходящее нападение, этот нулевой день IE раскрывается Hewlett-Packard.

Идя о шаге вперед, в отличие от многих уязвимостей нулевого дня, новый дефект IE фактически сначала сообщили Microsoft больше чем 180 дней назад и все еще не фиксировали.Уязвимость технически известна как CVE-2014-1770, и HP сначала конфиденциально раскрыл его Microsoft 11 ноября 2013.

«Эта уязвимость позволяет удаленным атакующим выполнять произвольный код по уязвимым установкам Microsoft Internet Explorer», HP предупредил на его консультации. «Взаимодействие с пользователем требуется, чтобы использовать эту уязвимость, в которой цель должна посетить злонамеренную страницу или открыть злонамеренный файл».Брайан Горенк, менеджер Инициативы нулевого дня (ZDI) в безопасности HP Исследование, сказал eWEEK, что уязвимость может быть инициирована на Internet Explorer 8 на Windows XP и Windows 7.Относительно того, почему HP решил публично раскрыть проблему теперь, все это имеет отношение к политике раскрытия, которую имеет в распоряжении ZDI.

«Это – первая уязвимость IE, выпущенная как консультация нулевого дня вследствие нарушения политики раскрытия ZDI’s HP», сказал Горенк.Политика раскрытия ZDI’s HP первоначально определила 180-дневное окно со времени, уязвимость конфиденциально раскрыта для затронутого поставщика для исправления проблемы.

После того, как 180-дневный период закончился, политика HP предупреждает поставщиков, что это публично раскроет уязвимость. С 1 марта, HP сократил окно раскрытия к 120 дням, в которые поставщик должен ответить и исправить уязвимость.Со своей стороны, Microsoft не отклоняет это, проблема CVE-2014-1770 существует, несмотря на то, что это преуменьшает риск.«Мы знаем, что публично раскрытая проблема включает Internet Explorer 8, и не обнаружили инциденты, влияющие на наших клиентов», отметила Microsoft в отчете, отправленном в eWEEK. «Мы продолжаем работать для решения этой проблемы и выпустим обновление системы защиты, когда готовый, чтобы помочь защитить клиентов».

Microsoft предлагает, чтобы пользователи IE обновили до современной операционной системы, такой как Windows 7 или 8.1, и выполнили последнюю версию Internet Explorer, который включает дальнейшие меры защиты.HP также не видит активное использование против CVE-2014-1770 уязвимости, но это не означает, что нет риска.«Во время выпуска консультации ZDI не полагает, что эта уязвимость активно используется, но подтверждение концепции для инициирования проблемы действительно существует», сказал Горенк. «Однако Уязвимость существовала в Internet Explorer в течение некоторого времени, и нет никакого доказательства, что это не было использовано в прошлом».CVE-2014-1770 не является первым нулевым днем IE, который повлияет на пользователей Windows XP в 2014.

1 мая Microsoft выпустила чрезвычайное обновление для фиксации CVE-2014-1776 уязвимости, которая также повлияла на пользователей Windows XP Microsoft.CVE-2014-1770 уязвимость не является единственной проблемой, которую HP имеет в его запасе проблем безопасности для общедоступного раскрытия также.

HP в настоящее время имеет список 199 консультаций, которые все ожидают общедоступное раскрытие.Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com.

Следуйте за ним в Твиттере @TechJournalist.


7 комментариев к “Microsoft IE Zero-Day Flaw Could Leave Millions в опасности”

  1. Ёлшина Светлана Алексеевна

    Украинские пенсионеры, справедливо возмущались повышением цен на газ… Повышение цены на газ для пенсионеров РФ не принципиально. В РФ стартовала акция ПОДАРИ ДРОВА…

Оставьте комментарий