0-day уязвимость в IE столкнула Microsoft и Google

0-day уязвимость в IE столкнула Microsoft и Google

На днях исследователь в области безопасности компании Google опубликовал в сети свою разработку, предназначенную для тестирования обозревателей на наличие уязвимостей, чем вызвал негодование в компании Microsoft.

Исследователь в области безопасности Google Михал Залевки, опубликовал свою утилиту cross_fuzz, с помощью которой он идентифицировал более 100 критических ошибок в веб-браузере Internet Explorer, в том числе уже известную, но еще незакрытую уязвимость. Напомним, что ошибка заключается в некорректном срабатывании компоненты mshtml.dll, которая может привести к сбою работы целевой системы.

В июле прошлого года, г-н Залевски, отправив программу в Microsoft, сообщил, что намерен опубликовать ее в январе этого года.

Однако, из-за досадного недоразумения, ему пришлось сделать это немного раньше.

Дело в том, что все файлы программы и результаты тестов упомянутой ошибки хранились на сервере. Но, файлы, случайно, были проиндексированы поисковой машиной Google, в результате чего попали в глобальную сеть. Первого января, он обнаружил, что доступ к ним получили лица, использующие китайские IP адреса, о чем известил Microsoft. Стоит заметить, что последние, после того как стало об уязвмимости, просили разработчика не публиковать програму до выхода обновления для обозревателя.

Помимо Internet Explorer, утилита способна определять наличие критических ошибок и в других веб-брузерах, например Opera и Firefox. Об этом разработчк упомянул в своем обращении к компании, сообщив, что подобные уязвимости, найденные в упомянутых приложениях, давно были устранены.

В Microsoft же полагают, что ошибка в IE не сопоставима с уязвимостями в других обозревателях, так как использовалась старая версия утилиты. Кроме того, случаев эксплуатации этой ошибки выявлено не было, да и жалоб от пользователей не поступало. Однако работы по устранению ошибки ведутся и патч планируется выпустить 11 января.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Более трети россиян готовы к аутентификации без паролей

Согласно совместному исследованию «Лаборатории Касперского», Почты Mail и Hi-Tech Mail, свыше трети россиян готовы отказаться от привычных паролей в пользу альтернативных способов авторизации, таких как биометрия или одноразовые коды.

В опросе приняли участие 1950 пользователей сервисов VK по всей стране.

Полностью перейти на беспарольные методы аутентификации готовы 16% респондентов, а еще 12% считают возможным использовать их для важных сервисов. При этом 9% опрошенных предпочитают быть осторожнее и готовы отказаться от паролей только при доступе к менее важным ресурсам.

Уже сегодня беспарольными методами пользуется 31% участников исследования, а еще 27% применяют их для защиты наиболее важных аккаунтов — в мессенджерах, электронной почте и онлайн-банкинге.

28% респондентов отмечают удобство и надежность беспарольных решений, однако 19% уверены, что лишь традиционные пароли способны обеспечить достаточную безопасность.

«Переход к беспарольной аутентификации не только значительно усиливает защиту аккаунтов, но и заметно улучшает пользовательский опыт. Людям больше не нужно запоминать множество сложных паролей, а риск их утечки из-за повторного использования на разных платформах существенно снижается. Мы также наблюдаем этот позитивный тренд в наших продуктах», — подчеркнул руководитель команды информационной безопасности Почты и Облака Mail Дмитрий Водяной.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru