Microsoft выпустила исправление, устраняющее уязвимость в Internet Explorer, а Oracle ликвидировала критические ошибки в Java.
Выпущенное 14 января компанией Microsoft исправление устраняет дефект в Internet Explorer, о котором она предупреждала пользователей в декабре 2012 г. Данное исправление является первым из экстренных исправлений, сделанных компанией Microsoft в наступившем году. Устраняемая с его помощью уязвимость связана с возможностью удаленного исполнения кода в ситуации, когда IE пытается осуществить доступ к объекту в памяти, который неправильно инициализирован или удален.
Информация об уязвимости появилась после того, как браузерный эксплойт был обнаружен пользователями, посещавшими сайт Совета по международным отношениям США. С аналогичной проблемой столкнулись посетители и некоторых других сайтов. Тем не менее в соответствии с распространенной Microsoft информацией до сих пор было зафиксировано ограниченное число подобных случаев. Уязвимости были обнаружены в Internet Explorer 8, хотя версии 6 и 7 также содержат соответствующий дефект.
“Хотя влияние этой уязвимости на общую безопасность системы является ограниченным, для улучшения защиты пользователи должны применить соответствующий патч как можно быстрее, если у них не включен режим автоматических обновлений”, — отметил в официальном сообщении Дастин Чайлдс, менеджер группы подразделения Microsoft Trustworthy Computing.
Согласно исследованиям компании Symantec, атаки вида “water holing”, когда злоумышленниками заражаются сайты, посещаемые сотрудниками атакуемой организации, могли быть организованы в рамках активности “Elderwood project”, поддерживаемой киберпреступниками. При этом используются ошибки “нулевого дня”, которые были обнаружены в Microsoft IE в последние восемь месяцев.
“В действительности всегда имеет место состязание между командами, создающими средства безопасности, и командами, разрабатывающими вредоносный код, — отметил Росс Барретт, старший менеджер подразделения безопасности компании Rapid7. — В данном случае, учитывая внимание, которое было проявлено к этой уязвимости, маловероятно, чтобы она могла долго использоваться. Выпуск исправления в этой ситуации аналогичен профилактической прививке перед вспышкой заболевания”.
13 января 2013 г. компания Oracle также выпустила патч, исправляющий две ошибки, связанные с безопасностью и относящиеся к разряду критичных. Первая из них имеет номер CVE-2013-0422 и представляет собой уязвимость в платформе Java, которая уже была использована в таких эксплойтах, как Nuclear и Blackhole. Вторая уязвимость с номером CVE-2012-3174 связана с удаленным исполнением кода и относится только к версии Oracle Java 7. Обеим ошибкам был присвоен наиболее высокий уровень критичности.
“Условия использования этих уязвимостей одинаковы, — сообщил в своем блоге Эрик Морис, руководитель группы по обеспечению безопасности ПО компании Oracle. — Для успешного ее использования злоумышленник должен привлечь пользователя к посещению зараженного веб-сайта. Выполнение зараженного апплета в рамках браузера позволяет злоумышленнику исполнить произвольный код в незащищенной системе. Эти уязвимости относятся только к Java-машинам, встроенным в веб-браузеры, поскольку они используются посредством зараженных апплетов”.
Ввиду наличия реальных случаев использования уязвимости CVE-2013-0422 для атак на пользователей и того факта, что подробности о ней стали общедоступными, компания Oracle настоятельно рекомендует своим заказчикам применить этот патч как можно быстрее. “В патче, предлагаемом Oracle, также изменяются исходные установки безопасности, относящиеся к использованию Java в браузере. Теперь от пользователя требуется явное подтверждение на исполнение Java-апплетов, которые не имеют цифровой или своей собственной подписи, — пояснил Росс Барретт. — Это означает, что компания Oracle усложнила процедуру использования Java-апплетов, пытаясь защитить пользователей от следующих Java-уязвимостей, которые могут появиться”.