Внеочередной патч для IE устраняет уязвимость 0-day

Разработчики Microsoft выпустили экстренные обновления для Internet Explorer и Microsoft Defender (ранее Windows Defender — Защитник Windows). Браузер содержит критическую уязвимость, уже используемую в атаках, поэтому его рекомендуется залатать как можно скорее.

Новая проблема в IE (CVE-2019-1367) открывает возможность для выполнения вредоносного кода в системе с правами текущего пользователя. Баг CVE-2019-1255 в Microsoft Defender менее опасен — он позволяет вызвать состояние отказа в обслуживании.

«Microsoft выпустила внеочередное обновление, устраняющее уязвимости в программных продуктах, — сказано в записи на сайте федерального агентства по обеспечению кибербезопасности США (CISA). — Удаленный злоумышленник может ими воспользоваться для захвата контроля над системой».

Согласно бюллетеню Microsoft, уязвимость нулевого дня в IE вызвана неправильной обработкой объектов в памяти скриптовым движком браузера. В результате может возникнуть ошибка нарушения целостности памяти, используя которую, автор атаки сможет выполнить произвольный код в контексте текущего пользователя.

«Если пользователь вошел в систему с привилегиями администратора, успешный эксплойт позволит атакующему захватить контроль над уязвимой системой, — поясняют разработчики. — В итоге он сможет устанавливать программы, просматривать, изменять и удалять данные или создавать новые аккаунты с полным набором прав».

Эксплуатация в данном случае осуществляется удаленно, в том числе через вредоносный сайт, на который пользователя можно заманить, например, с помощью поддельного письма. Наличие уязвимости подтверждено для Internet Explorer версий 9, 10 и 11. Заплатка для всех Windows 10 вышла в виде целевых обновлений, для Windows 7 и 8.1 — в составе накопительного обновления браузера; устанавливать ее придется вручную — или ждать октябрьского «вторника патчей», рискуя попасть под атаку.

Об использовании нового бага 0-day злоумышленниками Microsoft сообщил аналитик из Google Клеман Лесинь (Clément Lecigne). Национальная Группа быстрого реагирования на киберинциденты в США (US-CERT) призывает всех пользователей применить патч в кратчайшие сроки.

Уязвимость в утилите Microsoft Defender привязана к движку Microsoft Malware Protection Engine, который также используется в других антивирусных решениях компании. Согласно бюллетеню, проблема проявляется при обработке файлов и позволяет «воспрепятствовать исполнению легитимных системных бинарных кодов под легитимным аккаунтом». Воспользоваться недочетом можно лишь при наличии доступа к системе и возможности выполнить код.

Уязвимости CVE-2019-1255 подвержены все версии Microsoft Malware Protection Engine до 1.1.16300.1 включительно; ошибка исправлена в релизе 1.1.16400.2. При дефолтных настройках обновление антивирусного ПО будет произведено автоматически.

На прошлой неделе Microsoft Defender попал в новостные заголовки из-за обновления безопасности, вызвавшего отказ функции запуска сканирования системы вручную. Разработчик быстро скорректировал неудачный патч, но это не избавило его от ядовитых комментариев в прессе.

Источник: https://threatpost.ru/microsoft-internet-explorer-zero-day-flaw-addressed-in-out-of-band-security-update/34206/