Microsoft выпустила внеплановый патч, предназначенный для всех поддерживаемых версий Internet Explorer, включая IE 11 для Windows 10.

В бюллетене Microsoft говорится, что уязвимость нулевого дня не только стала общеизвестна, но и подвергается атакам со стороны злоумышленников. Об этой проблеме компании сообщил Клеман Лесинь (Clement Lecigne), ИБ-инженер из Google. Однако на момент публикации статьи он так и не смог дать комментарий.

Уязвимость (CVE-2015-2502) позволяет удаленно исполнять код, говорится в бюллетене MS15-093.

«Эта уязвимость может приводить к нарушению целостности памяти, которое позволяет атакующему исполнять произвольный код в контексте текущего пользователя», — заявили представители Microsoft, добавив, что эксплойт уязвимости также позволяет атакующему устанавливать дополнительные вредоносные программы, модифицировать данные в скомпрометированной системе и создавать новые учетные записи.

«Уязвимость была устранена путем внесения коррективов в механизм обработки объектов в памяти, используемый браузером Internet Explorer», — говорится в бюллетене.

Представители Microsoft заявили, что в качестве временной защитной меры достаточно эффективен EMET (Enhanced Mitigation Experience Toolkit), который позволит обеспечить безопасность на время тестирования и применения патчей.

Это уже второй экстренный патч, выпущенный Microsoft менее чем за месяц. 20 июля компания выпустила бюллетень, закрывший уязвимость в библиотеке ATML (Adobe Type Manager Library) и механизме, при помощи которого она обрабатывала OpenType-шрифты. Однако, в отличие от нынешнего случая, уязвимость, закрытая бюллетенем MS15-078, хотя и была обнародована, так и не успела подвергнуться атакам со стороны злоумышленников.

Несмотря на участившиеся случаи выпуска внеплановых бюллетеней, Microsoft сохраняет спокойствие, рекомендуя пользователям использовать EMET в качестве защитной меры от атак на уязвимости нулевого дня.

Нынешний патч является вторым выпущенным для IE в Windows 10. В минувший вторник патчей Microsoft выпустила кумулятивный апдейт для IE, включавший также патчи для Microsoft Edge, призванного стать заменой IE для Windows 10. Бюллетень также содержал патч для обнародованной уязвимости в IE.

Категории: Уязвимости