В браузере Internet Explorer обнаружена опасная уязвимость XXE, которая позволяет воровать файлы с компьютеров.
XXE (XML eXternal Entity) обнаружил исследователь безопасности Джон Пейдж. «Дыра» открывается в момент запуска файла в формате MHT (MHTML Web Archive), в котором все версии IE по умолчанию сохраняют веб-страницы.
Поскольку в Windows все файлы MHT автоматически открываются по умолчанию в Internet Explorer, использование этой уязвимости является тривиальным. Пользователю достаточно всего лишь дважды щелкнуть по файлу, полученному по электронной почте или другим способом.
Программист отметил, что им лично была протестирована обнаруженная уязвимость. Для теста он использовал браузер Internet Explorer v11 со всеми последними обновлениями безопасности в системах Windows 7, Windows 10 и Windows Server 2012 R2.
Компания Microsoft была уведомлена о наличии «дыры» еще 27 марта, но софтверный гигант посчитал эту уязвимость не особо опасной, и не внес ее в список для срочного устранения. В ответе Microsoft сказано, что вопрос исправления «будет рассмотрен в будущей версии», а пока «дело закрыто».
