Microsoft випустила виправлення для серйозної уразливості

Корпорація Microsoft випустила оновлення для системи безпеки. Воно містить виправлення уразливості в скриптовому рушію Internet Explorer. Ця уразливість під назвою CVE-2019-1429 може дозволити віддалене виконання коду завдяки «тому, як механізм сценаріїв обробляє об’єкти в пам’яті Internet Explorer». Оскільки сама проблема у скриптовому рушію, вона впливає не лише на цей браузер.

Скриптовий рушій IE також використовується в додатках Office Suite для відображення веб-контенту всередині вбудованих фреймів. Це означає, що зловмисники можуть створювати шкідливі документи Office. А також виконувати шкідливий код в системі користувача, якщо користувач дозволяє відображення розширеного вмісту, наприклад веб-фреймів. Нульовий день IE був помічений в активних атаках трьома різними командами: iDefense Labs, Resecurity і Google (Project Zero та Threat Analysis). Вони переконані, що це досить серйозна проблема. Але, поки що, жодних публічних заяв не було зроблено.

Хоча нульовий день в IE є найважливішою помилкою, яку треба виправити, Microsoft також додала виправлення для 74 помилок у своїх 9 продуктах та сервісах. Зокрема, патч для Excel на Mac, що усуває проблему, про яку повідомлялося раніше в цьому місяці. Excel для Mac ігнорував параметр «Вимкнути всі макроси» та, як і раніше, виконував сценарії макросів на основі XLM. Тобто, користувачі відкривали електронну таблицю Excel, і тим самим отримували небезпечний вектор атаки. Microsoft також випустила спеціальні рекомендації щодо усунення загадкової уразливості, яка існує в деяких наборах мікросхем Trusted Platform Module (TPM).