Microsoft в срочном порядке исправила уязвимость нулевого дня в IE

Компания Microsoft выпустила экстренные внеплановые обновления, исправляющие две уязвимости, в том числе уязвимость нулевого дня.

Уязвимость нулевого дня в Internet Explorer (CVE-2019-1367) позволяет атакующему удаленно выполнить на системе произвольный код и повысить свои привилегии до уровня текущего пользователя. Как сообщается в уведомлении Microsoft, причиной проблемы является то, как скриптовый движок (инструмент для реализации скриптов в различных скриптовых языках) обрабатывает объекты в памяти браузера.

Уязвимость приводит к повреждению памяти, чем может воспользоваться злоумышленник и выполнить произвольный код в контексте текущего пользователя. Если текущий пользователь обладает правами администратора, то атакующий может получить полный контроль над системой. В таком случае у него появится возможность устанавливать программы, просматривать, модифицировать и удалять данные, а также создавать новые учетные записи.

Уязвимость можно проэксплуатировать удаленно через интернет. Для этого злоумышленнику нужно создать особым образом настроенный сайт, способный проэксплуатировать уязвимость через браузер, и заманить на него жертву. Проблема затрагивает версии Internet Explorer 9, 10 и 11.

Уязвимость уже эксплуатируется во вредоносных кампаниях, однако Microsoft пока не раскрывает никакой информации о них.

Вторая проблема представляет собой уязвимость отказа в обслуживании (CVE-2019-1255) в Microsoft Defender. Она затрагивает версии Microsoft Malware Protection Engine до 1.1.16300.1 включительно и была исправлена в версии 1.1.16300.2.

Уязвимость позволяет блокировать выполнение действительными учетными записями легитимных системных кодов. Для ее эксплуатации злоумышленник сначала должен выполнить код на атакуемой системе. Исправление для проблемы будет установлено автоматически в течение 48 часов с момента выхода.

Источник: Securitylab