Microsoft официально закрыла программную уязвимость, просуществовавшую незамеченной 19 лет. Проблема отмечена в ежемесячном обновлении безопасности Microsoft Security Bulletin Summary for November 2014 в списке уже выпущенных 14 патчей.

Уязвимость, получившая неофициальное название WinShock и оцениваемая в 9,3 балла по 10-балльной шкале потенциального ущерба безопасности системы (Common Vulnerability Scoring System, CVSS), впервые была обнаружена ещё в мае 2014-го специалистами IBM при исследовании проблем с безопасностью продуктов семейств Windows и Office, и с тех пор совместная команда Microsoft и IBM работала над решением этой проблемы.

Парадоксальность ситуации заключается в том, что, по словам специалистов IBM, уязвимость присутствовала на протяжении последних 19 лет в каждой версии Windows начиная с Windows 95. Благодаря этой уязвимости злоумышленник может получить удалённый доступ к управлению ПК. Более того: уязвимость затрагивает и серверные платформы Microsoft Windows Server, ставя под угрозу даже сайты с криптозащитой.

По словам Роберта Фримана, специалиста из команды исследователей IBM X-Force, проблема основана на уязвимости в VBScript, представленном ещё в Internet Explorer 3.0. Даже сегодня этот баг не определяется антивирусными инструментами Microsoft и защитой Internet Explorer 11.

Несмотря на экзотический характер обнаруженной уязвимости и столь продолжительный срок её существования без массового использования злоумышленниками, пользователям любых версий Windows-систем настоятельно рекомендуется загрузить это критичное обновление как можно быстрее. Проблема заключается в том, что Microsoft выпускает последние обновления лишь для систем начиная с Windows Vista и выше, в то время как поддержка предыдущей версии Windows XP прекращена с апреля. Таким образом, используя систему под управлением Windows более чем 13-летней давности, можно столкнуться с неприятностями ископаемого характера.