Опрос
Ждете ли вы выхода привычных ноутбуков на новой Windows 10X?

Критическая уязвимость из бета-версии IE8 перекочевала в финальную

Напечатать страницу
27.03.2009 09:13 | Galaxer

На состоявшейся на прошлой неделе хакерской конференции CanSecWest демонстрировалась уязвимость в Internet Explorer 8 (IE8), впервые обнаруженная в бета-версии и перекочевавшая из неё в финальную.

Microsoft подтвердила наличие уязвимости в официально выпущенной версии браузера, сказала Терри Форслоф (Terri Forslof), исследователь из TippingPoint, которая спонсировала семинар Pwn2Own, где специалисты соревновались в попытках найти ошибки и уязвимости в браузерах и различных мобильных устройствах.

Подробности об уязвимости IE8, обнаруженной хакером по прозвищу "Нильс", неизвестны, однако не исключено, что она может быть признаком серьёзной проблемы, заявила Форслоф.

Эта уязвимость относится к разряду "щелкнул и получил контроль", сообщила она журналу SCMagazineUS.com во вторник. "Вы щелкаете по ссылке в сообщении электронной почты или просматриваете веб-сайт, и ваш компьютер заражается. Это соответствует критическому уровню по собственной шкале Microsoft для уязвимостей".

Уязвимость была продемонстрирована накануне появления в сети финальной версии IE8 для загрузки всеми желающими.

"Как только была обнаружена уязвимость, мы немедленно известили Microsoft, сказала Форслоф. "Затем мы воспроизвели ситуацию и проверили, действительно ли уязвимость существует. Мы также перепроверили всё на финальной версии IE8 на следующее утро и убедились в том, что проблема всё ещё присутствует".

Судя по всему, уязвимости не мешают ни DEP (абб. от Data Execution Prevention), ни ASLR (абб. от Address Space Layout Randomization) — функции, добавленные в IE8, чтобы избежать уязвимостей, вызывающих повреждение памяти.

Со своей стороны, Microsoft заявила в соответствующем сообщении блога, что финальная версия Internet Explorer 8 для Windows Vista блокирует механизм обхода .NET DEP+ASLR, используемый злоумышленниками в сети. Однако это сообщение, скорее всего, относится к различным механизмам обхода, которые демонстрировались исследователями на конференции Black Hat в Лас Вегасе в прошлом году.

К тому же в сообщении упоминается только Vista. Уязвимость, обнаруженная на CanSecWest, демонстрировалась на бета-версии Windows 7, что может придать проблеме новую степень значимости.

Пресс-секретарь Microsoft заявила, что пока не готова комментировать ситуацию.


Источник: http://www.scmagazineus.com
Перевод: Galaxer

Комментарии

Не в сети

исправьте заголовок

27.03.09 09:33
0
Для возможности комментировать войдите в 1 клик через

По теме

Акции MSFT
207.26 0.00
Акции торгуются с 17:30 до 00:00 по Москве
Все права принадлежат © ms insider @thevista.ru, 2020
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.084 секунд (Общее время SQL: 0.016 секунд - SQL запросов: 47 - Среднее время SQL: 0.00034 секунд))
Top.Mail.Ru