W ostrzeżeniu Security Advisory Microsoft informuje o luce w Windows, dzięki której za pośrednictwem stron pozornie godnych zaufania można przemycić niebezpieczne skrypty.
Problem
Usterka polega na nieprawidłowości w przetwarzaniu uchwytów MHTML we wszystkich obecnie obsługiwanych wersjach Okien, a więc od Windows XP aż po Windows 7. Błąd kryje się wprawdzie w windowsowym pliku DLL, ale spośród najbardziej popularnych przeglądarek jedynie Internet Explorer używa go do wyświetlania MHTML. Warto jednak zauważyć, że także lokalnie zapisane pliki MHTML są standardowo otwierane za pomocą Internet Explorera.
MHTML to skrót od MIME Encapsulation of Aggregate HTML; jest to ustandaryzowana metoda upakowywania kodu HTML zgodnie z MIME.
Zagrożenie
Skrypt, który może zostać uruchomiony z wykorzystaniem tej luki, zadziała w Internet Explorerze w kontekście bezpieczeństwa strony podsuniętej przez napastnika. Podprogram może manipulować jej zawartością, symulować działania użytkownika albo je szpiegować.
Rozwiązanie
Nie istnieje jeszcze rozwiązanie problemu.
Obejście
W artykule w blogu Dave Ross i Chengyun Chu z zespołu bezpieczeństwa Microsoftu pokazują, jak można przetestować własny system pod kątem podatności na występowanie tej luki, a także przedstawiają tymczasowe rozwiązanie w postaci poprawki, która wyłącza obsługę skryptów i obiektów ActiveX w MHTML.
Oprócz tego istnieje wiele innych luk w Windows i IE, dla których koncern z Redmond jak na razie przygotował jedynie rozwiązania zastępcze, aczkolwiek są one (luki) już wykorzystywane.
wydanie internetowe www.heise-online.pl
