Microsoft выпустила исправление для уязвимости нулевого дня в браузере Internet Explorer (CVE-2018-8653). Как отмечается, эта брешь уже используется хакерами для целевых атак. И хотя в компании не назвали масштабов бедствия, очевидно, они достаточно серьёзны. Саму уязвимость обнаружили специалисты из Google Threat Analysis Group. Они же заявили, что её эксплуатируют злоумышленники.
В техническом плане эта брешь касается движка браузера, когда он обрабатывает объекты в памяти. Если повредить их, это позволит выполнить произвольный код на целевой системе. При этом уязвимость можно задействовать удалённо, например, заманив жертву на определённый веб-сайт. Также это работает через приложения, использующие в работе скриптовый движок IE. Это, в частности, программы из офисного пакета Microsoft.
И хотя такая брешь не позволит выполнить код, если привилегии текущего пользователя урезаны, но в сочетании с другими уязвимостями она может принести проблемы. Напомним, что за последние четыре месяца Microsoft исправила четыре другие уязвимости нулевого дня, которые позволяли повышать привилегии в системе. Если пользователь не слишком часто устанавливает обновления, есть вероятность, что последние патчи на его машине отсутствуют.
Соответствующие апдейты для Internet Explorer 11 на Windows 10, Windows 8.1 и Windows 7 SP1 уже доступны. Также вышли обновления для Internet Explorer 10 на ОС Windows Server 2012 и Internet Explorer 9 на Windows Server 2008. Чтобы избежать проблем, рекомендуется как можно скорее провести обновление ОС.
В целом, окончание 2018 года у Microsoft явно проходит под флагом перманентных неудач. Является ли причиной неправильная модель разработки или что-то ещё — неизвестно.