Компания Microsoft сегодня выпустит заплатку, которая устранит серьезную уязвимость в браузере Internet Explorer, связанную с компонентом ActiveX Control. Обновление закроет лазейку для атак вида drive-by, когда компьютер заражается при посещении веб-страниц, содержащих вредоносный код.
О наличии критической ошибки в IE сообщила компания FireEye в пятницу, 8 ноября. По словам аналитиков, уязвимость "нулевого дня" затрагивает английские версии IE7/8 в Windows XP и IE8 в Windows 7. Область применения эксплойта довольно узкая, но если модифицировать его код, то в зоне риска окажутся и более современные версии браузеров — IE9/10, предупредили эксперты.
Проанализировав эксплойт, в FireEye пришли к выводу, что он является частью так называемой постоянной угрозы повышенной сложности (APT). Как выяснилось, для своей APT-атаки хакеры вставили вредоносный код "на стратегически важный сайт, посетители которого, скорее всего, заинтересованы в национальной и международной политике безопасности".
Microsoft определяет уязвимость как CVE-2013-3918. Закрывающий "дыру" апдейт выйдет около 22:00 по московскому времени. Распространяться он будет через "Центр обновления Windows" (Windows Update).
Источник: CNET