Баг позволяет выполнить произвольный код с правами текущего пользователя.
Компания Microsoft выпустила внеочередные обновления безопасности (KB4483187, KB4483230, KB4483234, KB 4483235, KB4483232, KB4483228, KB4483229 и KB4483187), устраняющие уязвимость нулевого дня в браузере Internet Explorer. Баг ( CVE-2018-8653 ) позволяет выполнить произвольный код, для этого злоумышленнику потребуется заманить жертву на вредоносный сайт. Проблема также может быть проэксплуатирована через приложения со встроенным движком IE для отображения web-контента (например, MS Office).
Хорошая новость заключается в том, что данная уязвимость предоставляет возможность выполнить код с правами текущего пользователя, то есть, если жертва использует учетную запись с ограниченными привилегиями, атакующий сможет выполнить только простые операции, которых, впрочем, вполне может быть достаточно для внедрения вредоносного ПО.
За последние четыре месяца Microsoft выпустила четыре патча, устраняющих уязвимости нулевого дня в Windows, и если жертва еще не установила их, злоумышленники может проэксплуатировать CVE-2018-8653 совместно с одной из предыдущих уязвимостей ( CVE-2018-8611 , CVE-2018-8589 , CVE-2018-8453 или CVE-2018-8440) и получить привилегии уровня SYSTEM.
CVE-2018-8653 не затрагивает браузер Microsoft Edge.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале