Разработчики из Microsoft выпустили внеочередной патч для уязвимости в Internet Explorer, уже используемой в целевых атаках.

Уязвимость, которой был присвоен идентификатор CVE-2018-8653, обнаружил аналитик из Google Клеман Лесинь (Clement Lecigne). Согласно бюллетеню Microsoft, брешь возникла из-за некорректной обработки объектов в памяти скриптовым движком браузера; ее эксплуатация позволяет удаленно выполнить любой код в контексте текущего пользователя.

Злоумышленник может воспользоваться новой лазейкой через веб-атаку: создать вредоносную страницу и убедить пользователя открыть ее в браузере — например, прислав ему ссылку в спам-письме. Если жертва работает под учетной записью администратора, автор атаки получит возможность захватить контроль над уязвимой системой и устанавливать программы, просматривать, изменять или удалять файлы, а также создавать новые аккаунты с полным набором прав пользователя.

Экстренное обновление доступно пользователям IE 9, 10 и 11, установленных на 32-битных и 64-битных Windows поддерживаемых версий, а также на Windows Server (выпусков с 2008 по 2019).

Степень опасности CVE-2018-8653 для Windows оценена как критическая (7,5 баллов по шкале CVSS), для Windows Server — как умеренная (6,4). Дело в том, что на серверных ОС Internet Explorer по умолчанию работает в режиме усиленной защиты от веб-атак (с так называемыми настройками повышенной безопасности), и риск успешной эксплуатации здесь ниже, чем на клиентских Windows.

Если установка патча по какой-то причине задерживается, а отказ от использования IE нежелателен, можно временно отключить доступ к библиотеке JScript.dll с помощью команды, приведенной в бюллетене Microsoft. По умолчанию IE 9, 10 и 11 используют Jscript9.dll, которая уязвимости не подвержена. Проблема проявляется лишь при посещении сайтов, работающих на движках JavaScript.

Категории: Главное, Уязвимости