CVE-2015-0071

Microsoft Internet Explorer

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-05-25

Официальное описание

Microsoft Internet Explorer allows remote attackers to bypass the address space layout randomization (ASLR) protection mechanism via a crafted web site.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2015-0071 представляет собой критическую уязвимость в Microsoft Internet Explorer, позволяющую обойти механизм защиты ASLR (Address Space Layout Randomization). Проблема заключается в некорректной обработке объектов в памяти, что позволяет злоумышленнику через специально подготовленный веб-сайт предсказать или вычислить адреса загрузки модулей в адресном пространстве процесса.

Хотя сама по себе эта уязвимость не ведет к выполнению произвольного кода, она является ключевым звеном в цепочке атак (exploit chain). Успешный обход ASLR позволяет атакующему нейтрализовать защиту от переполнения буфера и использовать техники ROP (Return-Oriented Programming) для выполнения вредоносного кода в контексте текущего пользователя.

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft. Данная уязвимость была закрыта в рамках бюллетеня по безопасности MS15-009.

  1. Для автоматического исправления запустите Центр обновления Windows и установите все критические обновления.

  2. Для ручной установки на конкретных версиях ОС (Windows 7, 8.1, Server 2008/2012) необходимо скачать и установить пакет обновления KB3034196.

  3. Проверка версии файла mshtml.dll (версия должна быть не ниже указанной в бюллетене для вашей ОС):

(Get-Item C:\Windows\System32\mshtml.dll).VersionInfo.FileVersion

Временные меры

Если немедленная установка обновлений невозможна, рекомендуется применить следующие защитные механизмы:

  1. Использование Enhanced Mitigation Experience Toolkit (EMET). Настройте принудительное использование функций ASR (Application Specific Relocation) и EAF (Export Address Table Access Filtering) для процесса iexplore.exe.

  2. Включение режима расширенной защиты (Enhanced Protected Mode) в настройках Internet Explorer:

Set-ItemProperty -Path "HKCU:\Software\Microsoft\Internet Explorer\Main" -Name "Isolation" -Value "PMEM"
  1. Ограничение использования сценариев Active Scripting в зонах интернета и ограниченных узлов через групповые политики (GPO) или реестр:
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3" /v 1400 /t REG_DWORD /d 3 /f
  1. Использование альтернативных браузеров с более современными механизмами песочницы и рандомизации до момента патчинга системы.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей