Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Zahraničné zdroje
Nahlásené incidenty
1.1.2018 - 31.12.2018
 

Graf

Kritická zero-day zraniteľnosť v Microsoft Internet Explorer umožňuje vzdialene vykonávať kód

24.09.2019
Dňa 23.9.2019 spoločnosť Microsoft mimoriadne vydala opravu kritickej zero-day zraniteľnosti v softvéroch Internet Explorer 9, 10 a 11, ktorá útočníkovi umožňuje vzdialené vykonanie ľubovoľného kódu. Zraniteľnosť je útočníkmi aktívne zneužívaná.

 

Dôsledky
Neautentifikovaný útočník môže spôsobiť vzdialené vykonanie ľubovoľného kódu s právomocami aktuálne prihláseného používateľa.

Opis činnosti
CVE-2019-1367
Útočník môže pomocou špeciálne pripravenej škodlivej stránky zneužiť chybu v správe objektov v pamäti v skriptovacom nástroji. Následne dôjde ku narušeniu integrity pamäte, čo možno zneužiť na vzdialené vykonanie ľubovoľného škodlivého kódu s právami práve prihláseného používateľa. Útočník musí nalákať používateľa na návštevu danej stránky.

Zraniteľné systémy
Internet Explorer 9
Internet Explorer 10
Internet Explorer 11

Závažnosť zraniteľnosti
Vysoká

Možné škody

  • Vzdialené vykonávanie kódu s právomocami aktuálne prihláseného používateľa
  • Získanie kontroly nad zraniteľným systémom

Odporúčania

Čo najskôr aplikovať vydané aktualizácie, ktoré je však momentálne potrebné aplikovať manuálne. Odkazy na stiahnutie z Microsoft Katalógu Aktualizácií pre rôzne verzie zraniteľných systémov možno nájsť na prvom odkaze.

Do aplikácie aktualizácií možno deaktivovať vstavanú JavaScript knižnicu, inštrukcie na prvom odkaze.

Odkazy
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1367
https://www.bleepingcomputer.com/news/security/microsoft-issues-windows-security-update-for-0day-vulnerability/



<< zoznam oznámení