Что добавила CISA#
CISA включила CVE-2010-0249 в каталог Known Exploited Vulnerabilities с сроком исправления 3 июня 2026 года.
Уязвимость затрагивает Microsoft Internet Explorer. Она описана как use-after-free ошибка: удалённый атакующий может выполнить произвольный код, обратившись к указателю на уже освобождённый объект.
Суть: объект памяти освобождён, но код потом обращается к старому указателю. Если атакующий управляет состоянием памяти, это может превратиться в выполнение кода. CISA подтверждает, что уязвимость эксплуатируется.
Продукт — Internet Explorer. CISA отмечает, что он может быть EoL или EoS. Требуемое действие: применить средства смягчения от вендора, следовать BOD 22-01 для облачных сервисов или прекратить использование при отсутствии мер.
Это не баг современных браузеров. CVE датируется 2010 годом. В 2026 это важно, потому что старое ПО остаётся там, где инвентаризация слабая.
Почему CVE IE всё ещё актуален#
IE не используется массово, но это не значит, что риск исчез.
Во многих инфраструктурах браузер исчезает из повседневного использования раньше, чем зависящие от него процессы. Старые веб-приложения, интранет-порталы, устаревшие консоли, встроенные Windows-системы, тонкие клиенты и режимы совместимости могут поддерживать IE-эпоху долго.
Практический риск: атакующему не нужна популярность продукта. Нужно, чтобы он существовал, был доступен и имел известный путь к выполнению кода.
Use-after-free в браузерном компоненте особенно опасен, так как атака начинается с обработки контента. Источник не даёт свежей цепочки эксплуатации, метода доставки, сектора, кампании или деталей развёртывания. Только факт известной эксплуатации и общая схема выполнения кода.
Что не стоит преувеличивать#
Запись CISA краткая. Она не указывает цели атак, масштаб эксплуатации, новый эксплойт, угрозного актёра или патч Microsoft.
Не доказано, что каждая система с историческим IE эксплуатируема. Зависит от состояния продукта, конфигурации, мер смягчения, пользовательского сценария и достижимости уязвимого кода.
Безопасная интерпретация:
- CVE-2010-0249 в KEV CISA.
- Известно, что эксплуатируется.
- Продукт: Microsoft Internet Explorer.
- Ошибка use-after-free может позволить выполнение произвольного кода.
- Продукт может быть EoL или EoS.
- Срок исправления для организаций по BOD 22-01: 3 июня 2026.
- Если мер нет, прекращайте использование.
Что проверить#
Первое — инвентаризация.
- проверьте, установлен ли Internet Explorer;
- проверьте, можно ли его запустить;
- проверьте, используют ли внутренние приложения IE-функции;
- проверьте доступ к IE из почты, чата или веб-ссылок;
- проверьте, могут ли уязвимые системы обращаться к ненадёжному веб-контенту;
- проверьте, применены ли меры смягчения от вендора;
- проверьте, продукт уже EoL или EoS;
- определите, является ли прекращение использования единственным реалистичным контролем.
Для федеральных агентств США KEV CISA с BOD 22-01 обязательна к выполнению. Для других организаций это сигнал приоритизации — уязвимость перешла из теории в эксплуатацию.
Вывод для операций#
Старые уязвимости браузеров не равны старому риску.
Они становятся актуальными, если наследное ПО связано с текущими процессами. IE часто выживает как исключение: один портал, одно приложение, один отдел, один unmanaged хост.
Действие CISA простое: применяйте меры смягчения, следуйте рекомендациям для облака, если их нет — прекращайте использование.
Для этого CVE лучший шаг — проверить наличие IE в среде, затем удалить или ограничить с доказательствами.
Мёртвое ПО не должно иметь активную поверхность атаки.