Раскрыт эксплойт-код для новой уязвимости в Internet Explorer

Николай Головко 22 Декабря 2010 - 19:14

...

Исследователи в области защиты информации опубликовали код, позволяющий эксплуатировать открытый изъян в обозревателе Microsoft Internet Explorer и обходить контуры защиты от уязвимостей, встроенные в операционную систему Windows 7.

Руководитель группы Microsoft Trustworthy Computing Дэйв Форстром в официальном заявлении отметил, что корпорация изучает предоставленные ей сведения об упомянутой ошибке безопасности. По словам г-на Форстрома, в реальной вирусной среде пока не было попыток эксплуатировать данную уязвимость; сообщений о пострадавших от нее пользователях также не поступало.

Сам изъян был обнаружен в первой декаде текущего месяца французской компанией Vupen. Сообщается, что проблема связана с некорректным функционированием обработчика таблиц стилей (CSS) браузера, который допускает ошибку при исполнении директивы @import. Напомним, что эта директива используется для загрузки стилей оформления веб-страниц из внешних источников.

Согласно бюллетеню Vupen, уязвимость может успешно эксплуатироваться против любого выпуска обозревателя Internet Explorer с шестого по восьмой включительно. IE6 и IE7 тестировались на операционной системе Windows XP, а IE8 - на XP, Vista и 7. Открыв в браузере особым образом сформированную страницу, пользователь может подвергнуться атаке вредоносного программного обеспечения или пострадать от компрометации данных.

Вновь вспомнить о неисправленной уязвимости пришлось вчера, 21 декабря, когда исследовательская группа Abysssec Security Research представила видеоролик с демонстрацией описанной выше атаки, а специалист Джошуа Дрейк добавил действующий эксплойт для нее в пакет Metasploit, который используется для выявления и оценки изъянов в программном обеспечении.

Особенность этого эксплойт-кода состоит в том, что он способен обходить внутренние системы защиты Windows 7, специально разработанные для борьбы с уязвимостями и нападениями на них - DEP (предотвращение исполнения данных) и ASLR (случайное расположение адресного пространства). Для достижения этой цели вредоносный код заставляет операционную систему загружать устаревшие .Net-библиотеки, не обеспеченные надлежащей защитой.

Представитель Microsoft ничего не сообщил о планах корпорации по исправлению этой уязвимости, заметив лишь, что будут приняты "все необходимые меры". Если исходить из традиционного расписания выпуска обновлений для обозревателя Internet Explorer, то можно ожидать, что патч будет доступен не ранее февраля наступающего года.

Computerworld

Следующая главная новость »

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 03 Февраля 2026 - 20:52

Общее

Документация на микроконтроллер Baikal-U стала общедоступна

«Байкал Электроникс» запустила публичный информационный портал с полной технической документацией на серийный микроконтроллер Baikal-U (BE-U1000). Теперь все ключевые материалы — от даташитов и SDK до схем, reference design плат и API — доступны открыто, без запросов, согласований и лишней бюрократии.

По сути, компания открыла весь базовый набор, который обычно нужен для старта разработки и интеграции микроконтроллера в реальные проекты.

Идея простая: сократить время входа, упростить жизнь инженерным командам и сделать работу с Baikal-U более предсказуемой и удобной — как для технологических партнёров, так и для независимых разработчиков, образовательных проектов и сообществ.

Портал планируют развивать и дальше. Со временем там должны появляться новые практические примеры использования микроконтроллера, прикладные заметки и кейсы, а также доработки интерфейса и навигации на основе обратной связи от пользователей.

Baikal-U (BE-U1000) — универсальный отечественный микроконтроллер на базе российских RISC-V-ядер CloudBEAR. Он рассчитан на индустриальные сценарии, включая применение на объектах критической информационной инфраструктуры.

Среди типовых областей использования — роботизированные комплексы АСУ ТП, датчики безопасности, приборы учёта, устройства ввода-вывода и решения для интернета вещей. За счёт встроенных функций управления электродвигателями и высокой энергоэффективности микроконтроллер может применяться и в системах управления беспилотными летательными аппаратами.

Генеральный директор «Байкал Электроникс» Андрей Евдокимов отметил, что компания сознательно решила изменить подход к взаимодействию с разработчиками и убрать избыточные барьеры. По его словам, открытая документация должна упростить работу с продуктами компании и помочь развитию экосистемы чипов Baikal в целом — в том числе за счёт обратной связи от инженерного сообщества.

В итоге запуск портала выглядит как попытка сделать российский микроконтроллер более «приземлённым» для практического использования — без закрытых архивов, долгих переписок и ограниченного доступа к базовой технической информации.

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »