Microsoft отказалась исправлять уязвимость нулевого дня
Уязвимость нулевого дня - это известная, но еще не устраненная брешь в системе безопасности ПО.
12 апреля, специалист по информационной безопасности Джон Пейдж опубликовал информацию о неисправленной уязвимости в Internet Explorer.
Данная уязвимость потенциально может позволить злоумышленнику получить содержимое локальных файлов пользователей систем Windows, минуя систему безопасности браузера, сообщает «3Dnews».
Уязвимость заключается в том, как Internet Explorer обрабатывает файлы в формате MHTML, как правило, имеющих расширение.mht или.mhtml. Данный формат используется в Internet Explorer по умолчанию для сохранения веб-страниц, и позволяет сохранить все содержимое страницы вместе со всем медиа-контентом в виде единственного файла.
Большинство современных браузеров больше не сохраняют веб-страницы в формате MHT и используют для этого стандартный для WEB формат - HTML, однако они все еще поддерживают обработку файлов в данном формате, а также могут использовать его для сохранения при соответствующих настройках или при помощи расширений.
Уязвимость относится к классу XXE (XML eXternal Entity) уязвимостей и заключается в неправильной конфигурации обработчика XML-кода в Internet Explorer.
В Windows все файлы MHT по умолчанию открываются в Internet Explorer, использование этой уязвимости является тривиальной задачей, поскольку пользователю нужно всего лишь дважды щелкнуть по опасному файлу, полученному им по электронной почте, в социальных сетях или мессенджерах.
По словам Пейджа, он успешно протестировал уязвимость в актуальной версии браузера Internet Explorer 11 со всеми последними обновлениями безопасности в системах Windows 7, Windows 10 и Windows Server 2012 R2.
27 марта Пейдж уведомил Microsoft об этой уязвимости в их браузере, а 10 апреля исследователь получил от компании ответ, где она обозначила, что не считает данную проблему критически важной.
«Исправление будет выпущено только со следующей версией продукта, - говорится в письме Microsoft. - В настоящее время мы не планируем выпускать решение для данной проблемы».
