Pojawiła się nowa krytyczna luka w Internet Explorerze

Źródło zdjęć: © Microsoft

23.11.2009 15:39, aktualizacja: 23.11.2009 15:56

Na specjalizującej się w kwestiach bezpieczeństwa liście dyskusyjnej Bugtraq w miniony piątek pojawił się wpis pod tytułem "IE7", który zawiera jedynie kilka linijek kodu HTML pozbawionych komentarza. Tymczasem wielu specjalistów od zabezpieczeń potwierdziło, że kod ujawnia dotychczas nieznaną lukę w zabezpieczeniach Internet Explorera.

Nie wiadomo, kto ukrywa się za pseudonimem "securitylab.ir" –. pojawia się on już od kwietnia 2009 roku w różnych komunikatach bezpieczeństwa i exploitach.

Problem

Wszystko wskazuje na to, że błąd pojawia się w momencie wywołania metody JavaScriptu. Biorąc jednak pod uwagę, że usterka została zlokalizowana w microsoftowej bibliotece mshtml.dll, nie należy się spodziewać jego występowania w innych przeglądarkach.

Rozwiązanie

Nie istnieje jeszcze rozwiązanie problemu.

Obejście

Użytkownicy Internet Explora mogą się chronić, wyłączając w ustawieniach przeglądarki ActiveScripiting w strefie Internetu. W wyniku tego jednak wiele stron WWW może przestać działać prawidłowo.

Zagrożenie

W pierwszych testach przeprowadzonych przez heise Security Internet Explorer w momencie wywołania strony HTML ulegał awarii. Działająca w branży zabezpieczeń firma Symantec potwierdza, że przedstawiono działający exploit Zero Day niepowodujący zagrożenia dla danych użytkownika, ale spodziewa się wydania w najbliższym czasie bardziej stabilnego kodu, który wtedy będzie stanowił faktyczne niebezpieczeństwo.

Francuskiej firmie VUPEN udało się zrekonstruować problem z zabezpieczeniami na przeglądarkach Internet Explorer 6 i 7 działających w systemie Windows XP SP3. Firma ostrzega, że za jego pomocą napastnik może przemycić własny kod i zainfekować system szkodliwym skryptem. Na razie nie ma stanowiska Microsoftu w tej sprawie.