Компания Microsoft выпустила экстренные внеплановые обновления, исправляющие две уязвимости, в том числе уязвимость нулевого дня.
Уязвимость нулевого дня в Internet Explorer (CVE-2019-1367) позволяет атакующему удаленно выполнить на системе произвольный код и повысить свои привилегии до уровня текущего пользователя. Как в уведомлении Microsoft, причиной проблемы является то, как скриптовый движок (инструмент для реализации скриптов в различных скриптовых языках) обрабатывает объекты в памяти браузера.
Уязвимость приводит к повреждению памяти, чем может воспользоваться злоумышленник и выполнить произвольный код в контексте текущего пользователя. Если текущий пользователь обладает правами администратора, то атакующий может получить полный контроль над системой. В таком случае у него появится возможность устанавливать программы, просматривать, модифицировать и удалять данные, а также создавать новые учетные записи.
Уязвимость можно проэксплуатировать удаленно через интернет. Для этого злоумышленнику нужно создать особым образом настроенный сайт, способный проэксплуатировать уязвимость через браузер, и заманить на него жертву. Проблема затрагивает версии Internet Explorer 9, 10 и 11.
Уязвимость уже эксплуатируется во вредоносных кампаниях, однако Microsoft пока не раскрывает никакой информации о них.
Вторая проблема представляет собой уязвимость отказа в обслуживании (CVE-2019-1255) в Microsoft Defender. Она затрагивает версии Microsoft Malware Protection Engine до 1.1.16300.1 включительно и была исправлена в версии 1.1.16300.2.
Уязвимость позволяет блокировать выполнение действительными учетными записями легитимных системных кодов. Для ее эксплуатации злоумышленник сначала должен выполнить код на атакуемой системе. Исправление для проблемы будет установлено автоматически в течение 48 часов с момента выхода.