Microsoft полгода не закрывает уязвимость в Internet Explorer

22/05/2014 10:13

Microsoft седьмой месяц оставляет неустраненной критическую уязвимость CVE-2014-1770 в веб-браузере Internet Explorer 8, информирует ресурс Zero Day Initiative. Обнаруженная уязвимость в Internet Explorer 8 позволяет получить полный контроль над системой через ошибки работы с CMarkup-объектами ActiveX. По системе оценок CVSS, уязвимость CVE-2014-1770 оценивается всего в 6.8 баллов из 10. Для эксплуатации уязвимости достаточно посещения веб-страницы со специально внедренным программным кодом. По информации ZDI, Microsoft была уведомлена о наличие уязвимости 11 октября 2013 г., однако не захотела приобретать подробную информацию о ней. В соответствии с политикой ZDI, спустя 180 дней сайт опубликовал информацию об этой уязвимости в открытом доступе. 8 мая 2014 г., Microsoft была предупреждена о предстоящем раскрытии уязвимости, однако никак не отреагировала. В период ожидания обновления от Microsoft специалисты советуют максимально повысить уровень защиты в настройках браузера для блокировки скриптов и сценариев ActiveX, а также настроить веб-браузер таким образом, чтобы он запрашивал у пользователя разрешение на их запуск.
Источник