Zranitelnost, kterou nahlásil Clement Lecigne, už útočníci využívají, čímž se z ní tedy stává klasická chyba „nultého dne.“ Kvůli tomu společnost vydala záplatu ještě před standardním termínem pravidelných bezpečnostních aktualizací, který byl stanoven na 8. ledna.
Aktualizace vyšla pro Windows 7, 8.1 i 10 – u těch se týká verzí 1607 a novějších – jakož i Windows Server 2008, 2012, 2016 a 2019. (Aktualizace pro některé verze desítek – 1607 a 1703 – byly k dispozici jen pro Windows 10 Enterprise a Windows 10 Education.)
„Zranitelnost spočívající ve vzdáleném spuštění kódu existuje ve způsobu, jakým skriptovací engine řeší objekty v paměti Internet Exploreru,“ oznámil Microsoft v dokumentu podpory CVE-2018-865. „Tato zranitelnost by paměť mohla poškodit takovým způsobem, že by útočník mohl spustit libovolný kód v kontextu aktuálního uživatele.“
Zranitelnost by mohla být zneužita prostým navedením uživatelů prohlížečů IE9, IE10 nebo IE11 na škodlivou stránku, například prostřednictvím phishingového e-mailu.
Internet Explorer přestal být podporován v roce 2016, kdy jej Microsoft převedl na tzv. „legacy“ režim. Což znamená, že i nadále lepí jeho zranitelnosti, ale už ho nijak nevylepšuje ani nedoplňuje. Jediným důvodem, proč Microsoft IE stále obsluhuje, je fakt, že někteří podnikoví uživatelé Windows 7, 8.1 a 10 na něm stále spouštějí zakázkové a webové aplikace a zastaralé intranetové stránky. Budoucnost je podle Microsoftu pouze v Edge, jenže ten zatím běží jen ve Windows 10.
Zdroj: Computerworld.com
PŘEDPLATNÉ
ČLÁNKY DO MAILU