Microsoft полгода ничего не делает с критической уязвимостью в Internet Explorer 8

Критическая уязвимость в Internet Explorer 8 остается седьмой месяц подряд и уже успела стать довольно известной среди экспертов по безопасности под кодовым обозначением CVE-2014-1770. Используя эту дыру, хакер может взять систему жертвы под полный контроль, если только она предварительно посетит сайт с вредоносным кодом.

Получив доступ к ПК, злоумышленник может использовать его с теми же правами, как и пользователь. В случае если пользователь работает в системе с ограниченными правами, то у злоумышленника соответственно меньше возможностей для взлома системы.

Атаке предшествует рассылка электронных писем с ссылкой на вредоносный сайт. При этом излюбленным средством хакеров стали сприпты и сценарии на ActiveX. Популярные почтовые сервисы имеют встроенную защиту от выполнения таких сценариев, но вне этих сервисов пользовательская система беззащитна перед ними.

По данным Zero Day Initiative, компания Билла Гейтса получила уведомление об этой уязвимости еще 11 октября. Но спустя 180 дней так ее и не устранила. Согласно политике ZDI, спустя этот срок сервис оставляет за собой право публично заявить об обнаруженной уязвимости. 8 мая 2014 года от имени ZDI компании Microsoft было отправлено последнее уведомление о намерении раскрыть эту информацию.

В период ожидания обновлений с устранением критических уязвимостей специалисты Microsoft советуют пользователям максимально повышать уровень защиты своего браузера, блокировать в нем скрипты и сценарии ActiveX, а также устанавливать запрет на несанкционированный запуск браузера.