Vupen Security три года не раскрывала критическую уязвимость в IE

image

Теги: Internet Explorer, браузер, уязвимость

Эксперты раскрыли обнаруженную в 2011 году брешь на соревнованиях Pwn2Own в марте нынешнего года.  

Французская ИБ-компания Vupen Security не раскрывала обнаруженную критическую уязвимость в Internet Explorer в течение трех лет до того, как сделала это на соревнованиях Pwn2Own в марте нынешнего года.

На прошлой неделе компания  опубликовала  описание уязвимости CVE-2014-2777, указав, что она была обнаружена 12 февраля 2011 года и исправлена Microsoft 17 июня нынешнего года. Брешь затрагивала версии браузера от IE 8 до IE 11 и позволяла злоумышленнику обойти песочницу.

По словам экспертов из Vupen, уязвимость существует из-за ошибки в последовательности действий, направленных на сохранение файла при вызове 'ShowSaveFileDialog()'. Брешь может эксплуатироваться в процессах внутри песочницы для записи файлов в произвольных местах на системе в обход песочницы.

За уязвимости, раскрытые в ходе Pwn2Own, Vupen Security получила вознаграждение в размере $300 тыс. Помимо Internet Explorer, компания раскрыла бреши в Adobe Reader, Mozilla Firefox и Adobe Flash.

Отметим, что CVE-2014-2777 не является самой старой брешью, исправленной только сейчас. Так, в прошлом месяце обновления  получили  алгоритмы распаковки LZO и LZ4, остававшиеся уязвимыми в течение двадцати лет.

Подробнее ознакомиться с описанием уязвимости в Internet Explorer можно по адресу:  http://www.securitylab.ru/vulnerability/453855.php         

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus