Теги → ie
Быстрый переход

Microsoft выпустила экстренный патч для Internet Explorer

Корпорация Microsoft вынуждена выпустить внеплановое обновление, устраняющее критически опасную уязвимость в браузере Internet Explorer.

Richard Levine/Demotix/Corbis

Richard Levine/Demotix/Corbis

Брешь позволяет злоумышленникам получить несанкционированный доступ к удалённому компьютеру с правами текущего пользователя. Для этого необходимо заманить жертву на составленную особым образом веб-страницу. При её просмотре с помощью Internet Explorer на компьютере может быть выполнен произвольный программный код.

Сетевые источники отмечают, что уязвимость уже эксплуатируется киберпреступниками. Ситуация ухудшается тем, что брешь присутствует во всех поддерживаемых версиях веб-обозревателя Microsoft: это редакции Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 и Internet Explorer 11.

Редмондский гигант рекомендует инсталлировать апдейт при первой возможности. Более подробная информация о проблеме доступна здесь.

Добавим, что на прошлой неделе Microsoft опубликовала 14 бюллетеней безопасности, в которых описываются патчи для клиентских версий Windows, Windows Server, Internet Explorer и Office. Нужно заметить, что наиболее значительный комплект патчей выпущен именно для браузера Internet Explorer. Апдейт MS15-079 исправил ряд уязвимостей повреждения памяти, которые присутствуют во всех поддерживаемых версиях IE. Эти бреши позволяют злоумышленнику с помощью специально сформированной веб-страницы получать контроль над системами посетителей (которые зашли на сайт с помощью уязвимой версии IE). 

IE 11 содержит опасную уязвимость

В актуальной версии Internet Explorer присутствует уязвимость межсайтового скриптинга (XSS), которая позволяет обойти политику единства происхождения. С помощью бреши злоумышленник способен подменить содержимое веб-страницы, а также получить персональную информацию о пользователе.

Впервые об уязвимости заявил Дейвид Лео (David Leo) из британской компании Deusen через e-mail рассылку Full Disclosure. Он также опубликовал PoC-код бреши, который демонстрирует её действие на примере сайта издания Daily Mail. При переходе на этот веб-сайт из специально сформированной страницы с помощью IE 10 или IE 11, на нём отображается надпись “Hacked by Deusen”, хотя ссылка в адресной строке при этом не меняется.

Таким же образом хакер может, например, подменить страницу банка, встроив в неё форму для ввода имени, пароля и даже защитного кода, полученного пользователем по SMS. Клиент при этом будет видеть в адресной строке URL своего банка и не заподозрит подвох.

Помимо этого уязвимость позволяет владельцу сайта, который посетил пользователь IE, получить данные из cookie-файлов, также содержащих важную конфиденциальную информацию (логин, пароль, номер телефона и пр).

Microsoft отреагировала на сообщение Дейвида Лео в почтовой рассылке, отметив, что знает об уязвимости, а также что она не получала уведомлений о её использовании для нанесения вреда. «Мы призываем клиентов не открывать ссылки, полученные от ненадёжных источников, а также не посещать сайты, которые не вызывают доверия», — заявили в корпорации.

Представитель компании Sucuri Даниэль Сил (Daniel Cid) и ещё несколько экспертов по информационной безопасности отметили, что владельцы веб-сайтов могут самостоятельно защититься от эксплуатации данной уязвимости с помощью специальных элементов кода, таких как заголовок X-Frame-Options со значением “deny” или “same-origin”. По словам Сида, этот заголовок сейчас используется крайне редко.

Патч к данной уязвимости, скорее всего, выйдет 10 февраля, когда Microsoft будет выпускать обновления безопасности для своих продуктов.

Движок Spartan «выдаёт себя» за Google Chrome

Последняя сборка Windows 10, которую Microsoft предоставила для участников программы Windows Insiders, позволяет попробовать, как себя ведёт новый движок браузера Spartan. Руководитель команды разработчиков Internet Explorer Дэвид Стори (David Storey) недавно опубликовал в Твиттере краткую инструкцию о том, как активировать новый движок.

Для того чтобы сделать это, нужно в адресной строке ввести «about:flags», после чего в основном рабочем поле появится возможность изменить некоторые настройки. Здесь необходимо выбрать опцию «Enable Experimental Web Platform Features» («Включить экспериментальные функции веб платформы») и перезапустить приложение.

После выполнения данной операции браузер меняет строку User Agent, которая соответствует Internet Explorer (Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko) на ту, по которой с первого взгляда можно указать на Google Chrome.

По словам Стори, это было сделано специально для того, чтобы устранить проблемы совместимости. Интересно, как разработчики Chrome относятся к такому нестандартному использованию их строки UserAgent и какими были условия соответствующей сделки между компаниями.

Между тем, движок нового браузера успел зарекомендовать себя с наилучшей стороны. Ряд тестов на производительность и быстродействие показал, что Spartan справляется с задачами, поставленными современным Интернетом, не хуже, а часто и намного лучше текущих лидеров рынка. Многие эксперты и обозреватели, среди которых, например, журналист AnandTech Бретт Хоус (Бретт Howse), отмечает высокие показатели движка при проверке с помощью различных веб-служб.

Для проведения тестов Хоус воспользовался такими сервисами, как Sunspider, Octane, WebXPRT, Oort Online и HTML5Test. При проведении каждого из них Spartan оказывался успешнее IE, а в двух случаях ему удавалось показать более высокий результат, чем Google Chrome.

Microsoft завтра устранит ряд уязвимостей в Windows, IE и Office

Microsoft выпустила предварительное уведомление об исправлениях безопасности, которые выйдут в этом месяце. 9 декабря будут опубликованы семь бюллетеней, три из которых исправят критические обновления.

Критические исправления обычно относятся к уязвимостям, которые позволяют злоумышленнику выполнить произвольный код на целевой системе. В этом месяце подобные уязвимости будут устранены в Internet Explorer, продуктах Office, а также в ядре различных версий Windows.

Обновления на этой неделе получат пользователи всех поддерживаемых версий Internet Explorer. Также существует опасная брешь, которая относится к Windows Vista, Windows 7, Windows Server 2003 и Windows Server 2008.

Последнее критическое обновление относится к Microsoft Office, в том числе к Office for Mac 2011, SharePoint Server 2010 и 2013, Office Web Apps 2010 и 2013, а также Office Compatibility Pack и Word Viewer. В перечне бюллетеней присутствует ещё несколько упоминаний офисного пакета Microsoft, но с меньшим уровнем угрозы.

Один из бюллетеней с рейтингом «важно» относится к почтовым серверам Microsoft Exchange 2007, 2010 и 2013. Здесь будет устранена уязвимость повышения привилегий на системе.

Последний бюллетень исправляет уязвимость раскрытия важных данных во всех версиях Windows, в том числе Server Core.

Корпорация Microsoft регулярно выпускает обновления безопасности в каждый второй вторник месяца приблизительно в 19:00 МСК. Они обычно устанавливаются автоматически, либо вручную через службу Windows Update, после инсталляции понадобится перезагрузка системы.

Эксперты рекомендуют воздержаться от использования Internet Explorer

Сразу несколько организаций, специализирующихся на вопросах компьютерной безопасности, опубликовали рекомендации о временном отказе от использования браузера Microsoft Internet Explorer в связи с наличием в нём критической уязвимости.

localsyr.com

localsyr.com

Брешь, о которой идёт речь, напомним, затрагивает все версии IE, начиная с 6-ой и заканчивая 11-ой. Злоумышленник через сформированную специальным образом веб-страницу может выполнить на компьютере жертвы произвольный программный код, в том числе получить полный контроль над атакуемой системой. Проблема актуальна для пользователей всех операционных систем Windows. Причём владельцам компьютеров с Windows XP даже не приходится рассчитывать на патч, поскольку поддержку этой платформы Microsoft недавно полностью прекратила.

geeksugar.com

geeksugar.com

Организация US-CERT, созданная при участии Министерства внутренней безопасности США, предупреждает об активной эксплуатации описанной уязвимости: пользователям Internet Explorer предлагается рассмотреть возможность перехода на альтернативный браузер до решения проблемы.

Австралийская служба безопасности Stay Smart Online также предлагает отказаться от IE в пользу других веб-обозревателей, например, Google Chrome, Mozilla Firefox или Opera. Такие же рекомендации даёт британская команда National Computer Emergency Response Team.

Microsoft пока не называет сроки выпуска патча. Не исключено, что с целью скорейшего устранения опасности будет подготовлен внеплановый апдейт, поскольку выпуск следующей порции ежемесячных «заплаток» состоится только 13 мая. 

Критическая уязвимость в Internet Explorer угрожает Windows-пользователям

Корпорация Microsoft сообщила об обнаружении опасной уязвимости в браузере Internet Explorer, которая позволяет киберпреступникам захватить полный контроль над удалённым компьютером.

huffingtonpost.com

huffingtonpost.com

Проблема затрагивает обозреватели Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 и Internet Explorer 11. По статистике Net Applications, в марте с этими браузерами работали почти 58 % владельцев персональных компьютеров с подключением к Интернету. Таким образом, опасности подвержен каждый второй ПК-пользователь, выходящий во Всемирную сеть.

Отмечается, что причина проблемы кроется в особенностях работы браузера с объектами в памяти, которые были удалены или некорректно размещены. Уязвимость приводит к повреждению данных в памяти, после чего злоумышленник получает возможность выполнить на компьютере жертвы произвольный программный код, в том числе получить контроль над атакуемой системой.

Для организации нападения можно, к примеру, разместить в Интернете сформированную специальным образом веб-страницу и заманить на неё потенциальную жертву, скажем, прислав гиперссылку в электронном письме. Microsoft отмечает, что уже зафиксированы случаи практической эксплуатации «дыры», но пока они «носят ограниченный характер».

pcworld.com

pcworld.com

Проблема теоретически затрагивает пользователей всех операционных систем Windows. В случае с Windows XP опасность может быть наиболее высокой, поскольку поддержку этой платформы Microsoft недавно полностью прекратила.

Редмондская корпорация изучает проблему и готовит соответствующий патч. Вероятно, он войдёт в состав следующей порции ежемесячных апдейтов, выход которой состоится 13 мая. 

Виртуальные машины с IE 11 теперь доступны на modern.IE

В начале 2013 году компании Microsoft объявила о запуске сайта modern.IE, который должен был помочь разработчикам тестировать свои проекты и программы, и, в конечном итоге, убедиться, что они отлично работают в Internet Explorer и других браузерах. Теперь в Microsoft заявили, что портал modern.IE имеет виртуальные машины для тестирования версий Internet Explorer под Windows 7 и 8.1.

Новые инструменты станут большим преимуществом для создателей веб-страниц, так как сейчас все больше пользователей переходят на использование IE11. Виртуальные машины позволят более тщательно тестировать функции веб-сайта для того, чтобы он в дальнейшем полноценно функционировал в браузере Microsoft.

В Microsoft также заявили, что помимо нововведений на сайте modern.IE также были обновлены все доступные виртуальные машины. К примеру, обновление Windows теперь отключено, и виртуальные машины, которые используют более ранние версии браузера, не обновляются автоматически до последней.

Наряду с виртуальными машинами modern.IE также предлагает другие инструменты и ряд ссылок разработчикам, к примеру, сканер сайтов, сканер совместимости, локальное серверное тестирование BrowserStack и примеры разработок современных веб-сайтов.

Microsoft обновила IE11, деактивировав расширенный защитный режим по умолчанию

В рамках уже ставшего традиционным выпуска исправлений безопасности от компании Microsoft, происходящего каждый второй вторник месяца, 12 ноября разработчики выпустили несколько обновлений для браузера Internet Explorer 11 в Windows 8.1. Согласно информации на обновленной странице техподдержки, компания деактивировала расширенный защитный режим по умолчанию.

Напомним, что ранее этот режим был включен по умолчанию как в версии для ПК, так и в Modern UI на Windows 8.1. Теперь разработчики отмечают: «Это было сделано для того, чтобы мы могли получать данные о сайтах, использующих дополнения, несовместимые с расширенным защитным режимом».

Как сообщили представители компании, включение расширенного защитного режима по умолчанию принесло свои плоды, и компании удалось не только идентифицировать, но и оповестить разработчиков сайтов, на которых не поддерживался режим, о необходимости обновления плагинов.

Несмотря на отключение режима по умолчанию, компания Microsoft все-таки настоятельно рекомендует пользователям включать его при установке совместимых расширений.

Internet Explorer 11 стал доступен для Windows 7

Корпорация Microsoft объявила о выпуске финальной версии Internet Explorer 11 для операционной системы Windows 7: браузер доступен для загрузки на 95 языках, включая русский. Ранее этот веб-обозреватель был доступен только пользователям Windows 8.1.

Microsoft начнёт автоматическое обновление браузера в Windows 7 в ближайшие недели, а автоматический апдейт IE11 Developer и Release Preview до финальной версии уже стартовал.

По сравнению с предыдущими версиями, как отмечает Microsoft, Internet Explorer 11 обладает улучшенными производительностью, безопасностью и стабильностью, а также обеспечивает лучшую защиту личной информации и предоставляет настройки управления конфиденциальностью, аналогичные возможностям IE11 для Windows 8.1.

Движок JavaScript Chakra подвергся значительным усовершенствованиям. Он стал быстрее, сохранив при этом совместимость с предыдущими версиями. Компилятор JIT теперь поддерживает новые способы оптимизации, включая полиморфическое кеширование (polymorphic cashing) свойств и встраивание функций: это значит, что больше кода проходит через JIT и меньше времени тратится на вычисления. Сборщик мусора гораздо более эффективно использует фоновые треды, не блокируя основные, отвечающие за обработку интерфейса сайта.

Internet Explorer 11 поддерживает WebGL — технологию, позволяющую веб-разработчикам создавать сайты со сложной 2D- и 3D-графикой, которая отображается с использованием графического процессора компьютера. Кроме того, браузер позволяет использовать HTML5-видео без дополнительных плагинов.

Загрузить Internet Explorer 11 можно отсюда.

Google прекращает поддержку браузера Internet Explorer 9 для работы с Google Apps

В ближайшее время Google прекратит поддержку веб-браузера Microsoft Internet Explorer 9. Об этом техногигант сообщил в блоге Google Apps.

Авторы опубликованной записи в который раз напомнили политику Google касательно поддержки браузеров. Так, компания из Маунтин-Вью работает исключительно с двумя последними версиями таких существующих веб-обозревателей, как Firefox, Internet Explorer и Safari. Что касается набирающего огромнейшую популярность браузера Chrome, то он поддерживается из-за регулярного автоматического обновления.

Пользователи таких сервисов Google Apps, как Gmail, Docs и пр., посещающие сайты из неподдерживаемых браузеров, будут уведомлены через промежуточные страницы или уведомления от приложений. В сообщениях будет размещена рекомендация обновить браузер до поддерживаемой версии.

Прекратив поддержку IE 9, Google сможет сконцентрироваться на Internet Explorer 11, релиз которого состоялся 17 октября текущего года вместе с Windows 8.1. Пользователи Windows 7 SP1 могут использовать IE10 или перейти на IE11 Release Preview для работы с Google Apps.

Напомним, что сейчас многие предприятия переходят с Windows XP на Windows 7, поскольку Microsoft прекращает поддержку XP. Именно это позволило Google применять политику поддержки к IE.

Microsoft выпустила внеплановый патч для обеспечения надежности работы IE11 для Windows 8.1

В большинстве случаев Microsoft выпускает исправления уязвимостей для своих программных продуктов во второй вторник каждого месяца. Однако на этой неделе компания решила выпустить внеочередной патч, предназначенный для обеспечения надежности работы IE11 для Windows 8.1, Windows RT 8.1 и Windows Server 2012 R2.

Подробное описание обновления доступно на странице поддержки Microsoft. В компании утверждают, что файл улучшит «надежность Internet Explorer 11». На веб-странице также говорится, что исправление можно скачать через Центр обновления Windows. Кроме того, существует возможность самостоятельного установления данного обновления для 32-битной и 64-битной версий ОС Windows 8.1, а также другого патча для Windows Server 2012 R2. Исправления для Windows RT 8.1 будут доступны только через Центр обновления Windows.

Несмотря на то, что в Microsoft не говорят о том, как именно исправленную брешь можно эксплуатировать, специалисты техногиганта настоятельно рекомендуют перезагрузить компьютер после инсталляции обновления.

Напомним, что пока была представлена только версия IE11 исключительно для Windows 8.1. Однако ожидается, что релиз веб-обозревателя для Windows 7 состоится совсем скоро.

Страница поиска Google в IE 11 отображается в искаженном виде

Internet Explorer 11, входящий в ОС Windows 8.1, некорректно отображает страницу поисковой выдачи в Google. Тем не менее, по словам экспертов из WinBeta, эту случайную ошибку легко исправить. Для это необходимо зайти в Internet Explorer, нажать alt+x и отменить функцию «Использовать списки совместимости Microsoft» («Use Microsoft compatibility lists»).

Может показаться, что Google намерено искажает внешний вид страниц в Internet Explorer 11, ведь не секрет, что между двумя технологическими гигантами частенько возникают споры. Тем не менее, это действительно ошибка разработчиков Microsoft, и ее с легкостью можно обойти.

Искажение внешнего вида страницы поиска Google – досадное упущение Microsoft, которое негативно отразилось на первом впечатлении пользователей IE 11, встроенного в недавно выпущенную Windows 8.1.

Internet Explorer наращивает долю на рынке браузеров

По оценкам Net Applications, Internet Explorer не только остаётся наиболее распространённым браузером для персональных компьютеров, но и укрепляет рыночные позиции.

В августе доля IE в мировом масштабе составляла 57,6%. Для сравнения, в июле обозреватель Microsoft занимал 56,6% рынка, а годом ранее — 53,6%. Наиболее популярной версией Internet Explorer является релиз 8.0 с 21,7% рынка в августе. На IE 10 приходится 18,7%, на IE 9.0 — 9,0%.

Firefox находится на втором месте по распространённости с долей в 18,9%. В августе 2012-го этот браузер занимал 20,1% мирового рынка.

Замыкает тройку Google Chrome, доля которого за год сократилась с 19,1 до 16,0%.

На четвёртом и пятом местах располагаются Safari и Opera с 5,6 и 1,5% соответственно. В августе 2012 года эти интернет-обозреватели удерживали 5,1 и 1,6% рынка.

Google прекращает поддержку Internet Explorer 6

Google намерена прекратить поддержку браузера Internet Explorer 6, уязвимость в котором стала звеном кибератаки на сети поискового гиганта. Согласно заявлению компании, с 1 марта некоторые из её сервисов не будут корректно работать с этим приложением, и пользователям рекомендуется установить новое ПО как можно скорее. Данным шагом Google продолжает отвечать на недавние действия, как она полагает, китайских хакеров, нанёсших удар также по нескольким десяткам технологических компаний и взломавших учётные записи на Gmail ряда выступающих в защиту прав человека активистов и журналистов. Дыра в защите IE позволяла злоумышленникам установить на компьютер "жертвы" троянскую программу при посещении специально созданного веб-сайта.
Internet Explorer
Ранее от использования браузера Microsoft призвало отказаться правительство Германии, а затем и Франции. Редмондская корпорация отреагировала достаточно быстро, выпустив соответствующее обновление за три недели до намеченного срока. Но это не остановило Google, и теперь некоторые ключевые функции Google Docs и Google Sites не будут работать в IE6. Docs, как известно, является онлайн-ответом на программный пакет Microsoft Office, а Sites позволяет создавать веб-страницы. Как отметил в блоге представитель Google Раджен Шет (Rajen Sheth), "Сеть за последнее десятилетие выросла с простых текстовых страниц до насыщенных, интерактивных приложений с видео и голосом. К сожалению, очень старые браузеры не способны обеспечить эффективную работу этих новых функций". Но многие до сих пор продолжают выходить в Интернет через девятилетний браузер – например, в Великобритании это 20% от общего количества пользователей Сети. Microsoft будет поддерживать свой устаревший продукт вплоть до 2014 года. Компания рекомендует установить обновление как можно скорее либо перейти на последнюю версию программы. Эксперты отмечают, что смена браузера не обязательно означает более высокую степень защиты, но это не помешало конкурирующим приложениям наподобие Firefox занять большую часть рынка. Согласно данным StatCounter, в Европе Firefox удерживает 39% долю, немного уступая IE с 47%. А в Германии и Австрии последний уже на втором месте. В глобальном масштабе у Firefox 31%, у IE – 59%. Материалы по теме:

Microsoft знала об использованной в Aurora уязвимости в IE с сентября 2009 г.

Как оказалось, Microsoft была осведомлена об уязвимости в браузере Internet Explorer, которая стала частью известной под названием Aurora недавней атаки на Google, ещё с сентября прошлого года. Напомним, что соответствующее обновление уже доступно для установки (оно закрывает сразу 8 известных уязвимостей). Как следует из информации самого софтверного гиганта, одной из сообщивших о бреши в безопасности компаний была израильская BugSec. В её отчёте сказано, что обнаружена дыра 26 августа, а уязвимыми являются браузеры IE 6, IE 7 и IE 8. Эксплуатация лазейки предполагает привлечение пользователя компьютера с IE на содержащий злонамеренный код веб-сайт. Затем происходит загрузка и установка троянской программы Hydraq или других компонентов, позволяющих контролировать ПК. Выход заплатки намечался на февраль, но Microsoft вынуждена была ускорить выпуск в связи с появившейся информацией о не последней роли уязвимости в операции Aurora, осуществленной против Google и ряда других технологических компаний.
IE
У производителей программного обеспечения часто уходят недели и месяцы на закрытие обнаруженных и не всегда известных широкой публике дыр, ведь процесс требует проведения большой тестовой работы. Стечение обстоятельств сделало обсуждаемый недостаток безопасности в браузере Microsoft одним из самых печально известных. Но важно и то, что учитывая характер работы компании над исправлениями сетевые преступники уже давно могут знать о других до сих пор незакрытых дырах, которые всегда были и будут практически в любом ПО, но особенно опасны в широко распространённом, таком как IE. Например, Core Security Technologies после выхода обновления от Microsoft объявила, что есть ещё ряд брешей, которые могут быть использованы для получения киберпреступниками удалённого доступа ко всем данным на ПК. Подробную информацию Core обещает обнародовать на конференции Black Hat в начале февраля, но известно, что хакеры могут осуществить эксплуатацию цепочки из 4-5 несущественных уязвимостей, вместе являющихся серьёзной угрозой. Материалы по теме:
window-new
Soft
Hard
Тренды 🔥