Dziesięć za jednym zamachem - Microsoft łata Internet Explorera

Pozaplanowa aktualizacja Microsoftu zamyka znaną od mniej więcej trzech tygodni krytyczną lukę w Internet Explorerze (iepeers.dll) i jednocześnie dziewięć innych, dotąd nieznanych. Jednak poszczególne usterki nie występują we wszystkich wydaniach przeglądarki. Co więcej, ryzyko przeprowadzenia udanego ataku różni się w zależności od wersji przeglądarki i edycji systemu Windows. Różnice wynikają z ulepszonych zabezpieczeń w nowszych wersjach Internet Explorera (tryb chroniony) i Windows (DEP, ASLR).

Dziesięć za jednym zamachem - Microsoft łata Internet Explorera
Źródło zdjęć: © Microsoft

Nienaprawiona pozostaje wciąż znana od czterech tygodni tzw. usterka F1. W jej przypadku chodzi o możliwość użycia funkcji VBScript o nazwie MsgBox() do pobierania plików pomocy (.hlp) z udziałów sieciowych i wykonywania za pośrednictwem zawartych w nich makr dowolnych poleceń. Konieczna jest tu jednak niewielka ingerencja użytkownika: dla potwierdzenia musi on nacisnąć klawisz F1.

Obraz

Najwyraźniej eksperci Microsoftu mieli za mało czasu na przygotowanie łaty pod kątem luki w Internet Explorerze 8 zidentyfikowanej przy okazji zawodów Pwn2own. Przypomnijmy, że ich uczestnik Peter Vreugdenhil zdołał złamać zabezpieczenia Internet Explorera 8 działającego w Windows 7 mimo włączonych funkcji ASLR i DEP. Obecna wiedza na temat tej usterki bezpieczeństwa pochodzi z mało konkretnego wpisu w blogu znalazcy.

wydanie internetowe www.heise-online.pl

Wybrane dla Ciebie
Komentarze (0)