Уязвимости Internet Explorer: CVE, БДУ ФСТЭК и мониторинг
Уязвимости Internet Explorer из реестра БДУ ФСТЭК: 682 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.
Уязвимости Internet Explorer из БДУ ФСТЭК
Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 682.
BDU:2021-04442Уязвимость механизма MSHTML браузера Internet Explorer, связанная с неверным управлением генерацией кода, позволяющая нарушителю выполнить произвольный код
BDU:2021-05514Уязвимость обработчиков сценариев JScript и VBScript браузера Internet Explorer, связанная с выходом операции за границы буфера, позволяющая нарушителю выполнить произвольный код или вызвать отказ в о
BDU:2026-07706Уязвимость компонента Event Handler браузера Microsoft Internet Explorer, позволяющая нарушителю выполнить произвольный код
BDU:2014-00158Уязвимость браузера Internet Explorer, позволяющая злоумышленнику выполнить произвольный код или вызвать отказ в обслуживании
BDU:2020-00340Уязвимость обработчика сценариев браузера Internet Explorer, позволяющая нарушителю выполнить произвольный код
BDU:2014-00160Уязвимость браузера Internet Explorer, позволяющая злоумышленнику выполнить произвольный код
BDU:2026-07707Уязвимость компонента Peer Objectsr библиотеки iepeers.dll браузера Microsoft Internet Explorer, позволяющая нарушителю выполнить произвольный код
BDU:2022-03966Уязвимость функции CMshtmlEd::Exec (mshtml.dll) браузера Internet Explorer, позволяющая нарушителю выполнить произвольный код
BDU:2019-01471Уязвимость браузера Internet Explorer, вызванная выходом операции за границы буфера в памяти, позволяющая нарушителю выполнить произвольный код в контексте текущего пользователя
BDU:2021-01372Уязвимость браузера Internet Explorer и Microsoft Edge, связанная с повторным освобождением памяти, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаем
Почему важно отслеживать уязвимости Internet Explorer
Internet Explorer — устаревший браузер Microsoft, снятый с поддержки, но всё ещё живущий в госструктурах и корпоративном legacy: банк-клиенты, ведомственные порталы, режим совместимости IE Mode в Microsoft Edge. Движок MSHTML остаётся частью Windows, поэтому его уязвимости актуальны даже без самого браузера. Типовые векторы: запись за границей буфера (CWE-787), use-after-free (CWE-416), ведущие к повреждению памяти и удалённому исполнению кода при открытии вредоносной страницы. Часть таких CVE входит в каталог KEV как активно эксплуатируемые. Патчи выходят в составе ежемесячных обновлений Windows Update (Patch Tuesday). По приказу ФСТЭК №117 уязвимость CVSS 9.0+ требует устранения за 24 часа, уровня 7.0–8.9 — за 7 дней; для ГИС и КИИ это часть мер по приказам №17 и №239. Автоматизируйте контроль legacy-инфраструктуры в SGRC-платформе КиберОснова.
Сроки устранения по приказу ФСТЭК №117
Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).
CVSS 9.0–10.0
24 часа
CVSS 7.0–8.9
7 дней
CVSS 4.0–6.9
30 дней
CVSS 0.1–3.9
Плановое
Полезные ресурсы
Автоматизируйте мониторинг уязвимостей Internet Explorer
SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.