Специалисты по информационной безопасности предупреждают об обнаружении в сети эксплоита, направленного на ранее неизвестную уязвимость в браузере Microsoft Internet Explorer. При помощи уязвимости потенциальные злоумышленники могут устанавливать на компьютер-жертву вредоносное программное обеспечение. В ИТ-компании Invincea говорят, что первые случаи работы указанного эксплоита были обнаружены в сети одного из американских федеральных ведомств, занимающегося ядерными исследованиями.
По словам специалистов, эксплоит задействует уязвимость нулевого дня, выявленную создателями эксплоита в браузере Internet Explorer 8. Более ранние версии браузера не подвержены уязвимости, баг IE8 работает с эксплоитом в среде операционных систем Windows XP-7, сообщает cybersecurity.ru.
В корпорации Microsoft подтвердили выявление бага в браузере. Согласно данным корпорации, баг работает только в IE8, а версии 6,7,9 и 10 не подвержены уязвимости. В рекомендации корпорации говорится, что пользователям следует по возможности перейти на Internet Explorer 10, тем же кто этого не может сделать, рекомендуется заблокировать ActiveX Controls и Active Scripting, а также установить предупреждение о запуске элементов ActiveX из локальной сети.
Источник:
http://www.anti-malware.ru
Настолько уже привычная новость, что комментариев по поводу самой уязвимости нет. Зато есть комментарий по поводу использования продукции MS на опасных предприятиях: не пора ли законодательно запретить использовать там глючный софт от этой печально известной компании? Или сначала стоит дождаться, пока какая-нибудь атомная станция из-за глюка в ПО как следует ё...т, и вот уже только потом запрещать? ;)
Мне уже самому интересно, кто до сих пор использует IE8 -- браузер уже четырёхлетней давности.
Перефразирую Ваш вопрос: интересно, сколько было компов инфицировано через эту дыру, которую только на 4 год соизволили прикрыть. ;)
Про Windows Update не слышали? Браузеры вообще-то обновляются, и тот факт, что в последней версии IE8 нашли дыру, совсем не обозначает, что она существовала там всё это время. Делать такой вывод -- всё равно, что считать, что в первой версии ядра Linux было бесконечное количество уязвимостей.
P.S. Уже прошло почти полмесяца с начала моего эксперимента. Уже две недели я сижу на Windows XP с открытыми портами без фаерволла и антивируса. Пока что я увидел BSOD только 2 раза (один из которых я вызвал сам), и у меня не украли ни одного аккаунта (в том числе к банковской карте). 23го числа я установлю любой антивирус на ваш выбор и сообщу, сколько и каких за это время нашлось малварей.
Совсем в демагогию ушли. :) При чем здесь первая версия Линукса? Речь о восьмой версии IE. В новости говорится об IE 8, а не о том, что после одного из обновлений через Windows Update браузер стал уязвимым. ;) А Вы еще подчеркнули, что IE8 уже как 4 года и за это время спецы из MS так и не удосужились выловить багу. Да и зачем ее вылавливать — слепили, продали, забыли.
>> А Вы еще подчеркнули, что IE8 уже как 4 года и за это время спецы из MS так и не удосужились выловить багу. Да и зачем ее вылавливать — слепили, продали, забыли.
За это время многие компании вообще прекращают поддержку своих продуктов. Я не буду удивлён, если окажется, что MS в это время был занят другими целями -- например, девятой и десятой версиями своего браузера ;)
Ну а то! Старые дыры потихоньку засвечивают, надо срочно новых наделать. Еще бы. ;)
Плохо в микрософте новые дыры клепают. Хром и Огнелис обгоняют раз эдак в 6.
Правильно, обгоняют по скорости поиска и исправления дыр. В MS еле копошатся, а чаше всего вообще ничего не ищут, а ждут пока дыра сама утечет в паблик. ;)
И как-то неудобно напоминать, что Chrome и FF продукты бесплатные и разработчики никому и ничего не должны, а IE — часть операционной системы, за которую требуют деньги и тем самым берут на себя ответственность.
>> IE — часть операционной системы, за которую требуют деньги и тем самым берут на себя ответственность.
Был. До выхода Висты. Начиная с неё, фактически IE является сторонней программой. Мало того, в некоторых версиях винды IE вообще изначально не стоит, а взамен предлагается выбор из 12 браузеров.
И был, и остался. В условиях написано, что для использования IE нужно иметь лицензию на Маздай. Например, нельзя просто выдрать браузер, запустить под Wine и легально использовать, если прежде не купил Виндовс.
Извините, так в ХП у Вас какой IE?
Вроде как для ХП как раз восьмой интернет эксплорер сейчас и актуален – через виндовс апдейт?
Более поздних версий IE для вин.ХП и делать наверное не будут.
При том, что вин.ХП до сих пор на 40% компьютеров...
Понятно, что Вы не пользуетесь IE, тогда просто удалите IE вообще. Вроде микрософт должен был такую возможность предоставить – после антимонопольных процессов в Европе.
Полностью удалить IE из винды не выйдет хотя бы потому, что его движок фактически встроен в винду и является одним из стандартных элементов управления. На его основе работает Windows Explorer, HTML Help и другой софт.
Само по себе "удаление IE" обозначает просто удаление его ярлыков и переброс ассоциации веб-сайтов на другой браузер. Конечно, кривовато, но с точки зрения пользователя он действительно перестаёт использовать ослика.
Вы очень успокоили этим примечанием всех пользователей вин.ХП ((-;
А что вам не нравится? Эту уязвимость можно использовать только, если в интернет эксплорере работать. Если он будет спокойно лежать на диске, а вы будете пользоваться другим браузером, то этой уязвимости уже можно не бояться. Так что всё нормально.
Раз используют, значит выгодно. И никто ни с какими законодательными инициативами выступать не будет.