ИБ-эксперт из Blue Frost Security Мориц Йодайт (Moritz Jodeit) получил от Microsoft $100 тыс. за сообщение об уязвимости в браузере Internet Explorer. $100 тыс. – максимальная сумма, предлагаемая компанией в рамках программы выплаты вознаграждений исследователям за обнаружение проблем безопасности в ее продуктах.
Йодайт сообщил о критической уязвимости в последней версии IE, позволяющей злоумышленнику удаленно выполнить код и получить полный контроль над системой. В частности, атакующий может похитить конфиденциальные данные с помощью вредоносного ПО.
Как сообщает издание The Daily Dot, исследователь предоставил Microsoft полностью готовый эксплоит, позволяющий обойти набор средств Enhanced Mitigation Experience 5.5 и песочницу при включенном расширенном защитном режиме. Эксплоит работает на 64-битной версии Internet Explorer 11 для Windows 10.
В настоящее время уязвимость является неисправленной, и пользователи подвергаются риску. После выхода патча Йодайт намерен опубликовать технические подробности об ошибке. Напомним, в следующем месяце после выхода обновлений безопасности для продуктов Microsoft исследователи также предоставят полную информацию об опасной уязвимости Badlock в Windows и Samba. (Microsoft/NovostIT)