Бесплатно Экспресс-аудит сайта:

23.01.2020

Для критической уязвимости в Internet Explorer 11 выпущен временный патч

На платформе 0patch стал доступен временный микропатч для активно эксплуатируемой уязвимости (CVE-2020-0674) удаленного выполнения кода в браузере Internet Explorer 11, пока не будет выпущено официальное исправление от Microsoft.

По словам Microsoft, эксплуатация уязвимости «позволяет повредить память таким образом, что злоумышленник сможет выполнить произвольный код в контексте текущего пользователя». Если пользователь авторизовался в системе с правами администратора на скомпрометированном устройстве, злоумышленники могут получить полный контроль над системой, что позволяет устанавливать вредоносные программы, манипулировать данными или создавать учетные записи с полными правами пользователя.

Критическая уязвимость содержится в jscript.dll и затрагивает версии Internet Explorer 9, 10 и 11 в устройствах под управлением Windows 7, Windows 8.1, Windows 10 и Windows Server.

Хотя Microsoft предложила ряд мер по предотвращению эксплуатации уязвимости, их реализация «может привести к снижению функциональности компонентов или функций, которые зависят от jscript.dll». Обходной путь также сопровождается рядом других негативных побочных эффектов, среди которых отказ проигрывателя Windows Media запускать MP4-файлы, нарушение печати через «Microsoft Print to PDF» и отказ в работе скриптов автоматической настройки прокси.

Микропатч готов для применения на устройствах под управлением Windows 7, Windows 10 (v1709, v1803, v1809), Windows Server 2008 R2 и Windows Server 2019.

«Наш микропатч работает по принципу переключателя, который запрещает или разрешает использование уязвимого файла jscript.dll компонентом браузера Internet Explorer в различных приложениях (IE, Outlook, Word и пр.)», — пояснил соучредитель 0patch Митя Колсек (Mitja Kolsek).

Пользователи могут загрузить микропатч на платформе 0patch после создания учетной записи, загрузки агента 0patch и регистрации агента на устройстве.