CVE-2013-3897

Суть уязвимости

Уязвимость типа "использование после освобождения" (use-after-free) в компоненте CDisplayPointer в Microsoft Internet Explorer. Злоумышленник может создать специально сформированную веб-страницу, которая при открытии в уязвимой версии браузера приводит к повреждению памяти. Это позволяет удаленно выполнить произвольный код в контексте текущего пользователя, потенциально приводя к установке программ, просмотру, изменению или удалению данных, созданию новых учетных записей с полными правами.

Как исправить

Установите официальное обновление безопасности от Microsoft.

• Для Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012: Установите накопительное обновление безопасности для Internet Explorer (MS13-080). Конкретный номер обновления зависит от версии ОС и архитектуры. Например, для Internet Explorer 10 на Windows 7 x64 это обновление: KB2879017

• Для Windows Vista, Windows Server 2008: Установите накопительное обновление безопасности для Internet Explorer (MS13-080). Например, для Internet Explorer 9 на Windows Vista x64: KB2879017

Действия: 1. Откройте Центр обновления Windows. 2. Проверьте наличие и установите все важные обновления. 3. Убедитесь, что установлено обновление из бюллетеня MS13-080 (октябрь 2013). 4. Перезагрузите систему после установки.

Альтернативный метод (PowerShell с правами администратора):

# Установка конкретного обновления по номеру KB (пример)
wusa.exe "C:\Path\To\Windows6.1-KB2879017-x64.msu" /quiet /norestart

# Или через Package Manager (для актуальных версий Windows 10/11)
# Сначала найдите точное имя пакета для вашей системы
Get-WindowsPackage -Online | Where-Object {$_.PackageName -like "*KB2879017*"}

Временное решение

Если немедленная установка обновления невозможна, примените следующие меры:

1. Настройте зоны безопасности Internet Explorer.

   • Откройте Свойства обозревателя -> вкладка Безопасность.
   • Для зон Интернет и Местная интрасеть установите уровень безопасности "Высокий". Это заблокирует выполнение активных сценариев и элементов ActiveX по умолчанию.
   • Нажмите "Другой..." и в разделе "Элементы ActiveX и модули подключения" установите:
     • "Запуск элементов управления ActiveX и модулей подключения" -> "Отключить".
     • "Выполнять сценарии элементов ActiveX, помеченных как безопасные" -> "Отключить".

2. Включите Enhanced Protected Mode (для IE 10 и 11).

   • В Свойства обозревателя -> вкладка Дополнительно.
   • В разделе "Безопасность" установите флажок "Включить расширенный защищенный режим".
   • Нажмите Применить и ОК. Перезапустите браузер.

3. Используйте политики ограничения программ (Software Restriction Policies) или AppLocker.

   • Заблокируйте выполнение iexplore.exe из стандартных путей для пользователей, которым не требуется Internet Explorer для работы.

4. Настройте правила WAF/IPS.

   • На межсетевом экране или системе предотвращения вторжений (IPS) разверните сигнатуры, направленные на эксплуатацию CVE-2013-3897 (например, web-client_activity или exploit-kit). Пример для Suricata: bash alert http any any -> $HOME_NET any (msg:"ET EXPLOIT Possible CVE-2013-3897 IE CDisplayPointer Exploit"; flow:established,to_client; content:"CDisplayPointer"; http_header; content:"use-after-free"; nocase; classtype:attempted-user; sid:2023133897; rev:1;)

5. Переход на альтернативный браузер.

   • Временно предписывайте пользователям использовать другие браузеры (Chrome, Firefox, Edge), не подверженные данной уязвимости, до установки патча.