Kritikus hiba az Explorerben

A beágyazott HTML-objektumok kezelésével kapcsolatos Internet Explorer (IE) hibát mostanáig alábecsülték. Korábban még nem volt világos, hogy a résen át lehetséges-e az érintett rendszerbe ártó kódot csempészni.

A Secunia informatikai biztonsági cég pénteken bejelentette, hogy exploitot fejlesztettek ki a réshez, amely a hiba pontosan ilyen képességét demonstrálja. A támadó ezáltal a teljes rendszert az ellenőrzése alá tudja vonni. A hiba kiaknázásához elegendő egy preparált weboldalra vezetni a felhasználót.

Kiszivároghat máshonnan

A Secunia közlése szerint az exploitot eljuttatták a Microsoftnak, saját rendszerükben pedig a hiba besorolását "Highly Critical" (igen kritikus) fokozatra emelték.

A hibát demonstráló kódot azonban nem kívánják nyilvánosságra hozni, mivel azzal tervrajzot adnának az online bűnözői csoportok kezébe. Ez viszont nem zárja ki, hogy a következő napokban más forrásból nem jelenik meg Proof-of-Concept kód.

Az Explorer legújabb bajára nincsen gyors segítség, ez alkalommal az ActiveScriting (JavaScript) kikapcsolása sem hoz javulást. Kétséges esetben a felhasználók számára nem marad más, csak az alternatív böngészők használata.

Van másik

A fentin kívül újabb Explorer-hibára is fény derült, írta a heise.de híroldal. Az ActiveX-vezérlők telepítése és végrehajtása során felugró ablak race condition nevű programozási hibához vezethet. Mindez oda vezet, hogy a felhasználó tévedésből rossz ActiveX-vezérlőt indíthat el, a támadó pedig átveheti az irányítást a rendszer felett. A hibát kihasználó exploit már megjelent, ez azonban nem fut Windows XP SP2 és Windows Server 2003 SP1 alatt.

Az 1.5.0.2-es, aktuális Firefoxban szintén rejtőzik egy kijavítatlan hiba, amely szintén felhasználható ártó kód becsempészésére. Bár a Mozilla fejlesztői szerint igen nehéz lehet ezt kivitelezni, de akár ez a feltételezés is tévesnek bizonyulhat. A norvég Operáról egyelőre nem derült ki, hogy kijavítatlan hibája volna.