Microsoft выпустила патч для устранения критической уязвимости в браузерах IE9 и IE11

Microsoft продолжает поддерживать старые версии своих разработок как минимум в плоскости безопасности, в данном случае это относится к IE9 и Windows 7. Компания в середине февраля 2020 года выпустила патчи ^[1] для всех пользовательских версий ОС Windows 7/8.1/10, а также для серверных версий Windows Server 2008/2012/2016. Эти обновления безопасности закрывают критическую уязвимость CVE-2020-0674 ^[2], обнаруженную ранее в Javascript-движке браузеров Internet Explorer 9 и Internet Explorer 11, изменяя механизм работы обработчика сценариев объектов в памяти.

Уязвимость CVE-2020-0674 позволяет удаленно запускать вирусный код, используя баги скриптового движка Internet Explorer при определенной обработке различных объектов в памяти браузера. Используя эту уязвимость злоумышленник может получить доступ к операционной системе с правами текущего пользователя и выполнять в ней деструктивные действия. Если уязвимость будет применена во время сеанса администратора, то злоумышленник может даже устанавливать программы, копировать, изменять или удалять данные, изменять учетные записи пользователей.

В рабочем эксплойте для этой уязвимости эксперты по безопасности, которые ее обнаружили, показали ^[3], что для ее активации достаточно встроить определенный безопасный для инициализации элемент управления ActiveX, в котором размещается механизм рендеринга IE, в файл для пакета Microsoft Office или в формате PDF и переслать его пользователю. Также уязвимость может использоваться во время посещения пользователем зараженных веб-страниц, которые могут содержать специально созданный контент с элементами HTML.

Примечательно, что 12 января 2016 года компания Microsoft прекратила ^[4] поддерживать браузер Internet Explorer 9. В компании тогда сообщили, что больше не будет предоставлять обновления безопасности и техническую поддержку для этой версии браузера.

14 января 2020 года закончился ^[5] период расширенной поддержки операционной системы Windows 7. Компьютеры под ее управлением продолжат работать, но производитель операционки не гарантирует их безопасность. Обычным пользователям Microsoft советует купить новый компьютер или ноутбук с Windows 10 вместо своего устаревшего устройства с Windows 7.

Microsoft будет до 10 января 2023 года платно поддерживать Windows 7 для участников программы расширенных обновлений безопасности (Extended Security Updates program — ESU). Это предприятия малого и среднего бизнеса и компании, которые дополнительно приобрели расширенные обновления безопасности и дополнительную техническую поддержку в Microsoft в рамках программ корпоративного лицензирования. Стоимость такой поддержки от $25 до $200 за одну рабочую станцию в год в зависимости от версии ОС — Enterprise или Pro.

Также 14 января 2020 года — это был последний день ^[6] поддержки Windows Server 2008 и Windows Server 2008 R2. Microsoft будет до 2023 года предлагать корпоративным клиентам платные обновления в рамках программы ESU. Но тут в качестве альтернативы компания предлагает мигрировать в облако Azure, в этом случае программа расширенных обновлений будет предоставляться бесплатно.

15 января 2020 года Microsoft выпустила ^[7] релизную версию браузера Edge на движке Chromium. Microsoft заявила ^[8], что новый Edge «является единственным браузером, оптимизированным для Windows 10». Компания опубликовала ^[9] исходный код некоторых компонентов браузера (в фильтре набрать: microsoft edge).

7 февраля 2020 года Microsoft выпустила ^[10] новую версию браузера Edge на базе Chromium — Edge 80.0.361.48, которая теперь поддерживает архитектуру ARM64. Кроме того, разработчики добавили в браузер поддержку технологии Dolby Vision, улучшенную поддержку веб-приложений, а также повысили производительность и стабильность. Новая стабильная версия Microsoft Edge в настоящее время доступна ^[11] для Windows 10, Windows 8.1, Windows 7, macOS, iOS и Android.

Автор: denis-19

Источник ^[12]