Корпорация Microsoft седьмой месяц оставляет неустраненной критическую уязвимость в веб-браузере Internet Explorer 8, информирует ресурс Zero Day Initiative, обозначивший брешь как CVE-2014-1770. Дыра в Internet Explorer 8 позволяет хакеру получить полный контроль над системой после того, как жертва посетит веб-сайт с внедренным в него вредоносным кодом.
После получения доступа к ПК, злоумышленник получает те же права, что и пользователь. В том случае, если права пользователя ограничены в системе, у злоумышленника будет меньше возможностей по ее взлому.
Атака начинается с рассылки электронных писем, в которых содержится ссылка на вредоносный сайт. При этом хакеры используют скрипты и сценарии ActiveX. В популярных почтовых приложениях Microsoft Outlook, Microsoft Outlook Express и Windows Mail присутствует зашита от выполнения таких компонентов, но вне этих приложений пользователь становится беззащитным.
По информации ресурса, Microsoft была уведомлена об уязвимости 11 октября 2013 года, однако с тех пор так ее и не устранила. В соответствии с политикой ZDI, спустя 180 дней сайт публично объявил о "дыре". Ранее, 8 мая, сайт ZDI предупредил Microsoft о предстоящем раскрытии информации.
В период ожидания обновления от Microsoft специалисты советуют максимально повысить уровень защиты в настройках браузера для блокировки скриптов и сценариев ActiveX, а также настроить браузер таким образом, чтобы он просил у пользователя разрешение на их запуск.
