Обнаруженный Clément Lecigne из Группы анализа угроз Google и обозначенный как CVE-2019-1367, нулевой день в IE является уязвимостью удаленного выполнения кода в том, как механизм сценариев Microsoft обрабатывает объекты в памяти в Internet Explorer.
Уязвимость представляет собой проблему, приводящую к повреждению памяти, которая может позволить удаленному злоумышленнику захватить ПК с Windows, просто убедив пользователя в просмотре специально созданной веб-страницы с ловушкой, размещенной в Интернете, при использовании Internet Explorer.
«Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить те же права, что и текущий пользователь. Если текущий пользователь вошел в систему с правами администратора, злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить контроль над уязвимой системой», - говорится в сообщении Microsoft. его рекомендации .
Уязвимость затрагивает версии Internet Explorer 9, 10, 11, и, хотя пользователи всегда должны развертывать обновления для каждого установленного программного обеспечения, когда оно доступно, настоятельно рекомендуется использовать альтернативные, более безопасные веб-браузеры, такие как Google Chrome или Mozilla Firefox.
Microsoft заявила, что эта уязвимость активно используется злоумышленниками в дикой природе, но не раскрыла никаких дополнительных подробностей о кампании эксплойтов.
Google недавно также обнаружил широко распространенную хакерскую кампанию для iPhone, которая нацелена на пользователей без разбора более двух лет, но Apple обвинила техническую компанию в создании ложного впечатления о «массовой эксплуатации».
Microsoft также выпустила второе внеполосное обновление безопасности для исправления уязвимости отказа в обслуживании (DoS) в Microsoft Defender, антивирусном ядре, которое поставляется с Windows 8 и более поздними версиями операционной системы Windows.
Обнаруженная Charalampos Billinis из F-Secure и Wenxu Wu из Tencent Security Lab и отслеженная как CVE-2019-1255, эта уязвимость обнаруживается в способе обработки файлов Защитником Microsoft и присутствует в версиях Microsoft Malware Protection Engine до 1.1.16300.1.
В соответствии с рекомендациями Microsoft, опубликованными Microsoft, злоумышленник может использовать эту уязвимость «для предотвращения выполнения законными учетными записями законных учетных записей», но для использования этого недостатка злоумышленнику «сначала потребуется выполнение в системе-жертве».
Обновление безопасности для Microsoft Defender является автоматическим и, следовательно, будет применено автоматически через Microsoft Malware Protection Engine в течение следующих 48 часов. Ошибка была устранена в Microsoft Malware Protection Engine версии 1.1.16400.2.
Поскольку оба обновления безопасности являются частью аварийных обновлений Microsoft, а одно из них даже устраняет уязвимость, которая используется прямо сейчас, пользователям рекомендуется развернуть их как можно скорее.