Компания Microsoft выпустила заплатку, которая устранила серьезную уязвимость в браузере Internet Explorer, связанную с компонентом ActiveX Control. Обновление закрыло лазейку для атак вида drive-by, когда компьютер заражается при посещении веб-страниц, содержащих вредоносный код.
О наличии критической ошибки в IE сообщила 8 ноября компания FireEye. По словам аналитиков, уязвимость "нулевого дня" затрагивает английские версии IE7/8 в Windows XP и IE8 в Windows 7. Область применения эксплойта довольно узкая, но если модифицировать его код, то в зоне риска окажутся и более современные версии браузеров — IE9/10, предупредили эксперты.
Проанализировав эксплойт, в FireEye пришли к выводу, что он является частью так называемой постоянной угрозы повышенной сложности (APT). Как выяснилось, для своей APT-атаки хакеры вставили вредоносный код "на стратегически важный сайт, посетители которого, скорее всего, заинтересованы в национальной и международной политике безопасности".
Microsoft определяет уязвимость как CVE-2013-3918. Закрывающий "дыру" апдейт распространяется через "Центр обновления Windows" (Windows Update).
