mobilní verze | Businessworld | CFOworld | Computerworld | GameStar | HD World | ChannelWorld | PC World | ScienceWorld
SecurityWorld | 16.03.10
Microsoft již vytvořil opravu pro nedávno objevenou kritickou zranitelnost v prohlížeči Internet Explorer. Záplata je v tuto chvíle testována a Microsoft zatím nepotvrdil, ale ani nevyvrátil, že bude vydána mimo pravidelný cyklus aktualizací, tj. jako mimořádná oprava.
Viz také: V Internet Exploreru nalezena další chyba zero day
Microsoft už minulý týden upozornil na to, že útočníci začali zranitelnost v Internet Exploreru verzí 6 a 7 zneužívat. Izraelský výzkumník Moshe Ben Abu zachytil útočný kód na webu, který se pokoušel o útok typu drive-by download. Tento kód byl pak zveřejněn a stal se také součástí nástroje pro penetrační testování Metasploit.
Ben Abu a tvůrci Metasploitu se ovšem neshodují v tom, jak je tento útok vlastně účinný; každopádně nefunguje stroprocentně, nicméně MSIE 6 a 7 je zranitelný i na plně záplatovaných Windows XP SP3 a Windows Vista SP2. Zveřejněné útočného kódu každopádně vyvolalo mezi bezpečnostními experty smíšené pocit.
Předpokládalo se, že pokud se tento typ útoku rozšíří, Microsoft přikročí k vydání mimořádné opravy. Jerry Bryant, senior manager Microsoft Security Response Center, připustil, že společnost tyto spekulace zaznamenala, nikdy ale informace o termínu oprav nezveřejňuje předem. Testování oprav je podle něj kritická část celého procesu a navíc časově náročné.
Microsoft zatím nabízí způsob, jak problém obejít. Nástroj Fix It (na webu Microsoftu) znepřístupní knihovnu iepeers.dll, která je vlastním jádrem zranitelnosti. Doporučit lze také zákaz aktivního skriptování, zapnutí obranné technologie DEP (Data Execution Prevention) a samozřejmě nejlépe přechod na nejnovější verzi Internet Exploreru 8, která je proti tomuto útoku imunní.
Pravidelný termín příštího vydání záplat Microsoft bude až skoro za měsíc, v úterý 13. dubna.
Sdílet
