Microsoft знала об использованной в Aurora уязвимости в IE с сентября 2009 г.

Как оказалось, Microsoft была осведомлена об уязвимости в браузере Internet Explorer, которая стала частью известной под названием Aurora недавней атаки на Google, ещё с сентября прошлого года. Напомним, что соответствующее обновление уже доступно для установки (оно закрывает сразу 8 известных уязвимостей). Как следует из информации самого софтверного гиганта, одной из сообщивших о бреши в безопасности компаний была израильская BugSec. В её отчёте сказано, что обнаружена дыра 26 августа, а уязвимыми являются браузеры IE 6, IE 7 и IE 8. Эксплуатация лазейки предполагает привлечение пользователя компьютера с IE на содержащий злонамеренный код веб-сайт. Затем происходит загрузка и установка троянской программы Hydraq или других компонентов, позволяющих контролировать ПК. Выход заплатки намечался на февраль, но Microsoft вынуждена была ускорить выпуск в связи с появившейся информацией о не последней роли уязвимости в операции Aurora, осуществленной против Google и ряда других технологических компаний.

У производителей программного обеспечения часто уходят недели и месяцы на закрытие обнаруженных и не всегда известных широкой публике дыр, ведь процесс требует проведения большой тестовой работы. Стечение обстоятельств сделало обсуждаемый недостаток безопасности в браузере Microsoft одним из самых печально известных. Но важно и то, что учитывая характер работы компании над исправлениями сетевые преступники уже давно могут знать о других до сих пор незакрытых дырах, которые всегда были и будут практически в любом ПО, но особенно опасны в широко распространённом, таком как IE. Например, Core Security Technologies после выхода обновления от Microsoft объявила, что есть ещё ряд брешей, которые могут быть использованы для получения киберпреступниками удалённого доступа ко всем данным на ПК. Подробную информацию Core обещает обнародовать на конференции Black Hat в начале февраля, но известно, что хакеры могут осуществить эксплуатацию цепочки из 4-5 несущественных уязвимостей, вместе являющихся серьёзной угрозой.