Microsoft благодаря исследователям из IBM устранила критическую уязвимость Windows, имевшуюся в операционной системе почти 20 лет, с тех пор как вышел Internet Explorer 3.0. Брешь — конкретно она присутствовала в VBScript — позволяла атакующему запускать в системе произвольный код при посещении вредоносного сайта. От нее не спасали защитный инструментарий Microsoft Enhanced Mitigation Experience Toolkit и функции песочницы IE11. В Microsoft узнали об уязвимости в мае, а заплату выпустили только на днях. Применима она лишь к Windows начиная с версии Vista.
Microsoft также устранила критическую уязвимость в присутствующем во всех версиях Windows сервисе Secure Channel, реализующем протоколы шифрования SSL и TLS. В корпорации указали, что брешь позволяет атакующему запускать произвольный код на Windows-серверах; из бюллетеня безопасности неясно, возможно ли использование уязвимости для компрометации клиентских систем при заходе на вредоносные HTTPS-сайты с помощью IE, который пользуется SChannel. Но судя по посту в официальном блоге Microsoft, это возможно: там указано, что вероятный вектор атаки для заплаты MS14-066, устраняющей брешь, — «заход пользователя на вредоносную веб-страницу». Заплата также обеспечивает усиление шифрования TLS в версиях Windows, начиная с «семерки».