Эксперты раскрыли обнаруженную в 2011 году брешь на соревнованиях Pwn2Own в марте нынешнего года.
Французская ИБ-компания Vupen Security не раскрывала обнаруженную критическую уязвимость в Internet Explorer в течение трех лет до того, как сделала это на соревнованиях Pwn2Own в марте нынешнего года.
На прошлой неделе компания опубликовала описание уязвимости CVE-2014-2777, указав, что она была обнаружена 12 февраля 2011 года и исправлена Microsoft 17 июня нынешнего года. Брешь затрагивала версии браузера от IE 8 до IE 11 и позволяла злоумышленнику обойти песочницу.
По словам экспертов из Vupen, уязвимость существует из-за ошибки в последовательности действий, направленных на сохранение файла при вызове 'ShowSaveFileDialog()'. Брешь может эксплуатироваться в процессах внутри песочницы для записи файлов в произвольных местах на системе в обход песочницы.
За уязвимости, раскрытые в ходе Pwn2Own, Vupen Security получила вознаграждение в размере $300 тыс. Помимо Internet Explorer, компания раскрыла бреши в Adobe Reader, Mozilla Firefox и Adobe Flash.
Отметим, что CVE-2014-2777 не является самой старой брешью, исправленной только сейчас. Так, в прошлом месяце обновления получили алгоритмы распаковки LZO и LZ4, остававшиеся уязвимыми в течение двадцати лет.
Подробнее ознакомиться с описанием уязвимости в Internet Explorer можно по адресу: http://www.securitylab.ru/vulnerability/453855.php