Vupen Security три года не раскрывала критическую уязвимость в IE

Vupen Security три года не раскрывала критическую уязвимость в IE

Эксперты раскрыли обнаруженную в 2011 году брешь на соревнованиях Pwn2Own в марте нынешнего года.  

Французская ИБ-компания Vupen Security не раскрывала обнаруженную критическую уязвимость в Internet Explorer в течение трех лет до того, как сделала это на соревнованиях Pwn2Own в марте нынешнего года.

На прошлой неделе компания  опубликовала  описание уязвимости CVE-2014-2777, указав, что она была обнаружена 12 февраля 2011 года и исправлена Microsoft 17 июня нынешнего года. Брешь затрагивала версии браузера от IE 8 до IE 11 и позволяла злоумышленнику обойти песочницу.

По словам экспертов из Vupen, уязвимость существует из-за ошибки в последовательности действий, направленных на сохранение файла при вызове 'ShowSaveFileDialog()'. Брешь может эксплуатироваться в процессах внутри песочницы для записи файлов в произвольных местах на системе в обход песочницы.

За уязвимости, раскрытые в ходе Pwn2Own, Vupen Security получила вознаграждение в размере $300 тыс. Помимо Internet Explorer, компания раскрыла бреши в Adobe Reader, Mozilla Firefox и Adobe Flash.

Отметим, что CVE-2014-2777 не является самой старой брешью, исправленной только сейчас. Так, в прошлом месяце обновления  получили  алгоритмы распаковки LZO и LZ4, остававшиеся уязвимыми в течение двадцати лет.

Подробнее ознакомиться с описанием уязвимости в Internet Explorer можно по адресу:  http://www.securitylab.ru/vulnerability/453855.php         

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться