HP ZDI опубликовала информацию о четырех новых уязвимостях в IE
6475
Корпорация Microsoft в очередной раз показывает себя не очень надежным партнером, не исправляя уязвимости, которые находят специальные группы исследователей сторонних технологических корпораций. На этот раз речь идет о еще четырех новых уязвимостях, которые нашли исследователи в рамках инициативы HP ZDI (Zero Day Initiative).
HP дает разработчикам 120 дней в течение которых компании должны исправлять найденные уязвимости, но корпорации Microsoft опять не хватило отведенного срока и HP раскрыла часть информации о брешах в популярном браузере Internet Explorer. Надо отдать должное HP, она не раскрыла технические детали, которые могут помочь злоумышленникам в проведении атак.
Обнаруженные уязвимости позволяют злоумышленникам выполнять произвольный код на удаленной машине, поэтому следует ожидать от Microsoft выпуска соответствующих исправлений в ближайший очередной вторник исправлений. Хотя, как было в случае с некоторыми из последних уязвимостей в IE, компания может и не отреагировать на них, ссылаясь на незначительность и отсутствие реальных случаев использования брешей.
По последним данным, уязвимости были исправлены в настольной версии IE, но остались в IE Mobile. Таким образом все же остается незначительное число, в том числе и корпоративных, пользователей, которые могут быть подвержены атаке злоумышленников.
Комментарии
Все четыре относятся к IE Mobile. Десктопы по видимому не затронуты, во всяком случае упоминания про них нет. Без разрешения пользователя уязвимость не может быть использована (ну понятно что на любителей тыкнуть в любую кнопку не думая, это не распространяется). Вообще не очень понятно как в мобильном ИЕ удаленное исполнение кода может быть использовано. Игрушку на телефоне запустят или калькулятор?
- от 20го числа лежат подряд, если кому интересно.
А, во в чем дело:
"Согласно отчетам об этих уязвимостях, изначально они позиционировались как баги в IE для персональных компьютеров, но позже выяснилось, что им также подвержен и IE Mobile. Microsoft устранила все уязвимости в версиях браузера для ПК, но они до сих пор присутствуют в версиях для мобильных устройств. В бюллетенях ZDI говорилось, что эти баги присутствуют в Internet Explorer. Однако к вечеру минувшего четверга информация в бюллетенях была скорректирована, дабы отразить тот факт, что эти уязвимости присутствуют только в IE Mobile. - See more at:
По теме
- Microsoft готовит экстренный патч для уязвимости нулевого дня в Internet Explorer
- С Anniversary Update некоторые изменения коснутся и Internet Explorer
- NetMarketShare: Chrome обогнал IE и стал самым популярным десктопным браузером
- Обновлено: 12 января прекратится поддержка браузеров Internet Explorer устаревших для конкретной версии Windows
- C 12 января 2016 года прекращается поддержка устаревших версий IE
- В IE от Windows Vista до Windows 10 найдена серьезная уязвимость
- Internet Explorer вместе с Яндекс и Google признан экстремистским
- Вышло исправление критической уязвимости для IE с 7 по 11 версию
- Microsoft отказывается устранять очередную уязвимость в IE
- Обновление KB3038314 блокирует установку альтернативных поисковиков в IE11