Krystian Kloskowski - polski specjalista ds. zabezpieczeń ( znany pod pseudonimem h07 ) - znalazł nowy, niebezpieczny błąd w oprogramowaniu Microsoftu. Tym razem problem dotyczy zestawu narzędzi dla programistów tworzących rozwiązania oparte na DirectX - Kloskowski znalazł w nim lukę, która umożliwia wywołanie błędu przepełnienia bufora i uruchomienie w Windows niebezpiecznego kodu.
Przyczyną problemu jest błąd w zabezpieczeniach jednego z komponentów ActiveX, wchodzącego w skład DirectX Media 6.0 SDK - chodzi o kontrolkę FlashPix ActiveX. Okazuje się, że jest ona podatna na błąd przepełnienia bufora - aby do niego doprowadzić, wystarczy skłonić użytkownika do wyświetlenia w Internet Explorerze odpowiednio zmodyfikowanego dokumentu HTML. Takim dokumentem może być zarówno strona WWW, jak i e-mail w formacie HTML ( lub załącznik do wiadomości ).
Z analiz Polaka wynika, że na atak podatna jest przeglądarka Microsoftu w wersji 6 ( IE6 ) - nie wiadomo na razie, czy problem dotyczy również najnowszego wydania ( IE7 ). Microsoft na razie nie komentuje tych doniesień.
Oficjalny alert w tej sprawie wydał już amerykański zespół Computer Emergency Response Team ( US-CERT ) - jego autorzy ostrzegają, iż problem jest poważny, ponieważ ewentualny atak może zostać przeprowadzony przy minimalnym udziale ze strony użytkownika. Według CERT, najbardziej prawdopodobnym scenariuszem takiego ataku będzie osadzenie exploita wykorzystującego błąd na stronie WWW, na którą "ofiara" może zostać zwabiona np. wiadomością e-mail lub poprzez komunikator.
Specjaliści z duńskiej firmy Secunia uznali lukę za "wysoce krytyczną" ( jest to czwarty stopień zagrożenia w pięciostopniowej skali wykorzystywanej przez tę firmę - groźniejsze są tylko błędy oznaczone jako "ekstremalnie krytyczne" ).
Nie wiadomo na razie, kiedy przygotowane zostanie uaktualnienie usuwające ów problem - w związku z tym przedstawiciele US-CERT zalecają użytkownikom zagrożonej aplikacji wyłączenie w IE obsługi kontrolek ActiveX lub wprowadzenie zmian do Rejestru wyłączających tę konkretną kontrolkę ( szczegółową instrukcję znaleźć można w alercie CERT-u - http://www.kb.cert.org/vuls/id/466601 ).
