Microsoft каже, що вразливість, використану дослідником Стівеном Февером для використання Internet Explorer 8, уже виправлено у версіях RC і RTM Internet Explorer 9.
Під час хакерського виклику CanSecWest Pwn2Own тут, Менше використало три різні вразливості зламати IE 8 на Windows 7 (SP1). Атака включала вражаючу втечу з пісочниці в захищеному режимі та принесла Fewer грошовий приз у розмірі 15 000 доларів США та новий ноутбук Sony.
У заяві, опублікованій після конкурсу, Microsoft сказала, що швидко визначила, що віддалений код Проблема з виконанням не впливає на його найновіший веб-переглядач, остаточний випуск якого запланований на наступний понеділок (березень) 14, 2011).
[ ПОБАЧИТИ: IE8 у Windows 7 зламано з 3 уразливими місцями ]
Мало хто сказав, що йому довелося використовувати три різні вразливості, щоб уникнути кількох засобів захисту від експлойтів (ASLR, DEP і захищений режим). Корпорація Майкрософт підтвердила наявність двох додаткових недоліків, використаних у Pwn2Own, але не сказала, чи були вони також виправлені в IE 9.
Компанія повідомила, що патч наразі тестується для випуску на «нижчих» версіях Internet Explorer.
Ось заява Microsoft:
Під час щорічного конкурсу Pwn2Own на CanSecWest Microsoft дізналася про вразливість в Internet Explorer 8. Корпорація Майкрософт швидко визначила, що вразливість уже усунуто у версіях RC і RTM Internet Explorer 9. Оновлення також очікується для початкових версій Internet Explorer. Оскільки ця вразливість не впливає на IE9, корпорація Майкрософт заохочує клієнтів скористатися перевагами покращень безпеки, які пропонує браузер, який буде випущено в Інтернет 14 березня.
Microsoft продовжує заохочувати скоординоване розкриття вразливостей як найефективнішу політику для захисту екосистеми Інтернету. Ми цінуємо практику ZDI щодо розкриття вразливостей безпосередньо постраждалим розробникам програмного забезпечення та можливість постійно покращувати безпеку продуктів Microsoft. Ми вважаємо, що дослідження, які є результатом таких конференцій, є надзвичайно цінними; ось чому Microsoft спонсорує цей та інші дослідницькі заходи по всьому світу.
Microsoft не повідомляє, коли буде випущено виправлення для IE 8 і нижчих версій.