Zoltán
21 °C
36 °C

Fél éve lyukas az Internet Explorer 8

2014.05.22. 14:59

A HP Zero Day Initiative szerdán közleményben mutatott be egy javítatlan, nulladik napi hibát, mely az Internet Explorer 8-as verziójában található, és amely lehetővé teszi egy támadó számára, hogy – amennyiben sikerül a felhasználót rávenni az elindítására – tetszőleges, fertőzött weboldalról vagy e-mailből származó kódot futtathasson a célba vett, a sebezhetőséget tartalmazó számítógépen. Vagyis felhasználói közreműködést igényel a sérülékenység kihasználása.

A kutatók a böngészőknél manapság slágernek számító use-after-free típusú hibát (a CMarkup objektumok kezelése során lehet korrumpálni a memóriatartalmat) már tavaly októberben felfedezték, ezt jelezték is a Microsoftnak, ám mivel még mindig nem jelent meg javítás, ezért döntöttek a nyilvánosságra hozatal mellett – Zero Day Initiative belső szabályzatában az szerepel, hogy amennyiben az értesített gyártó 180 nap után sem ad ki javítást, akkor nyilvánosan ismertetik az adott sebezhetőséget.

Hivatalos Microsoft-tanács így természetesen nincs, de a sebezhetőséget felfedező kutatók a sokszor hasznos EMET eszközkészletet ajánlják, amellyel megszüntetni ugyan nem lehet a hibát, de a kockázatok mérséklésére alkalmas.