Կիբերանվտանգության ոլորտի փորձագետները մանրամասներ են ներկայացրել Windows MSHTML հարթակում ներկայումս առկա խոցելիության մասին, որը կարող է չարաշահվել թիրախավորված մեքենաների ամբողջական պաշտպանությունը շրջանցելու համար:
CVE-2023-29324 (CVSS, միավորը՝ 6.5) խոցելիությունը նկարագրվում է որպես անվտանգության գործառույթի շրջանցում: Այն վերագրվել է 2023 թվականին Microsoft-ի կողմից թողարկված Patch Tuesday թարմացումներին:
«Անանուն հաքերը կարող է չարաշաել խոցելիությունը՝ ստիպելով Outlook-ի հաճախորդին միանալ հարձակվողի կողմից վերահսկվող սերվերին», – նշվում է «The Hacker News»-ին տրամադրված զեկույցում:
Հարկ է նաև նշել, որ CVE-2023-29324-ը շրջանցում է Microsoft-ի շտկումը՝ CVE-2023-23397-ը կարգավորելու համար:
«Այս խոցելիությունը ևս մեկ վառ օրինակ է խնդիրը մանրամասն ուսումնասիրելու համար, որը կկանխի նոր հարձակումների հոսքը», – նշում է Բարնեան:
«Դա zero-click մեդիա parsing հարձակման հարթակ է, որը կարող է պարունակել հիշողության կրիտիկական խոցելիություն»:
Պաշտպանված լինելու համար Microsoft-ն իր օգտատերերին խորհուրդ է տալիս կատարել Internet Explorer-ի նոր թարմացումները՝ MSHTML պլատֆորմի և սկրիպտային ընթացիկ խոցելիությունը վերացնելու համար:
Աղբյուրը՝ https://thehackernews.com/
