Tradycyjnie jak co miesiąc, firma Microsoft wydała szereg zabezpieczeń w ramach aktualizacji Patch Tuesday. Na tapecie znalazło się wiele produktów. Aktualizacja dotyczyła m.in. dwóch krytycznych poprawek dla różnych wersji programu Internet Explorer, w tym IE10 dla Windows 8. Czy jednak MS załatał wszystkie wykryte luki?
Microsoft poinformował w notatkach do wydanych łatek, że wtorkowe poprawki Internet Explorer dotyczyły luki, która “może pozwolić na zdalne wykonanie kodu, jeśli użytkownik wyświetli specjalnie przygotowaną stronę sieci Web przy użyciu programu Internet Explorer.”
Jednak te poprawki nie odnioszą się do błędu w IE10, który został odkryty ponad miesiąc temu przez francuską firmę security software, VUPEN. Spółka podała, że znaleziono dwa exploity zero-day w IE10, które pozwoliły ekipie na zdalne przejęcie komputera Surface PC Pro podczas konkursu Pwn2Own.
W ramach konkursu Pwn2Own znaleziono także błędy w Firefoksie Mozilli i przeglądarce Chrome od Google, jednak obaj wydawcy zdążyli już zamknąć wykryte luki.
Nie ma dowodów na to, że exploit wykorzystany przez VUPEN znalazł zastosowanie w środowisku naturalnym. Możliwe, że Microsoft może wyda specjalną aktualizację IE10 poza normalnym trybem drugiego wtorku miesiąca – “Patch Tuesday”. Niestety, po raz kolejny okazuje się także, że firma z Redmond jest w łataniu luk dość opieszała.
Źródło: Neowin