Microsoft отказалась исправлять уязвимость нулевого дня в Internet Explorer

Ответить на тему
 
Автор Сообщение

Cyber ®

Пол: Не указан

Стаж: 1 год 2 месяца

Сообщений: 733

Создавать темы 15-Апр-2019 11:55

[Цитировать]


В пятницу 12 апреля специалист по информационной безопасности Джон Пейдж опубликовал информацию о неисправленной уязвимости в актуальной версии Internet Explorer, а также продемонстрировал её реализацию. Данная уязвимость потенциально может позволить злоумышленнику получить содержимое локальных файлов пользователей систем Windows, минуя систему безопасности браузера.
Уязвимость нулевого дня — это известная, но ещё не устранённая брешь в системе безопасности ПО, которой пользуются хакеры в целях получения несанкционированного доступа к системе
Уязвимость заключается в том, как Internet Explorer обрабатывает файлы в формате MHTML, как правило, имеющих расширение .mht или .mhtml. Данный формат используется в Internet Explorer по умолчанию для сохранения веб-страниц, и позволяет сохранить всё содержимое страницы вместе со всем медиа-контентом в виде единственного файла. На данный момент большинство современных браузеров больше не сохраняют веб-страницы в формате MHT и используют для этого стандартный для WEB формат — HTML, однако они всё ещё поддерживают обработку файлов в данном формате, а также могут использовать его для сохранения при соответствующих настройках или при помощи расширений.
Уязвимость, обнаруженная Джоном, относится к классу XXE (XML eXternal Entity) уязвимостей и заключается в неправильной конфигурации обработчика XML-кода в Internet Explorer. «Эта уязвимость позволяет удалённому злоумышленнику получить доступ к локальным файлам пользователя и, например, извлечь информацию о версии установленного в системе программного обеспечения», — рассказывает Пейдж. «Так, запрос для 'c:\Python27\NEWS.txt' вернёт версию этой программы (интерпретатора Python в данном случае)».
[Профиль] [ЛС]
Показать сообщения:    
Ответить на тему

Текущее время: 23-Апр 03:04

Часовой пояс: UTC + 3



Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Интересное в сети