Dziurawy IE? Microsoft: to nie nasza wina!

Eric Lawrence, menedżer ds. bezpieczeństwa Internet Explorera stwierdził na konferencji Black Hat, że Microsoft nie ponosi odpowiedzialności za to, że ich przeglądarka jest mniej bezpieczna niż produkty konkurencji. Winę za taki stan rzeczy zrzucił on na wtyczki, które mają zwiększać funkcjonalność przeglądarek.

Według Lawrence'a od około dwóch lat hakerzy nie zajmują się rozpracowywaniem i wyszukiwaniem dziur w przeglądarkach, gdyż same w sobie są one dosyć trudne do złamania. Ich celem padają wtyczki, które są znaczniej bardziej podatne na zagrożenia. Dotyczy to zwłaszcza ich starszych wersji, które często nie są przez użytkowników aktualizowane.

Hakerzy, zdaniem Lawrence'a, skupiają się na najbardziej popularnych wtyczkach. Szukają w nich luk bezpieczeństwa, a nastepnie atakują komputery zwykłych użytkowników. Taki sposób działania dotyczyć ma wszystkich przeglądarek, a więc: IE, Firefoksa, Opery oraz Safari.

Przedstawiciel Microsoftu stwierdził również, że "w nowym Internet Explorerze, Microsoft zwrócił szczególną uwagę na bezpieczeństwo systemu, w którym używana będzie przeglądarka. W IE8 obecna ma być funkcja "per-site ActiveX". Dzięki niej zainstalowana wtyczka domyślnie będzie aktywna tylko na stronach, które są związane z jej dostawcą. Naprzyklad: zainstalowanie wtyczki Yahoo! Music sprawi, że nie będzie ona działać na innych stronach niż tych obsługiwanych przez Yahoo!".

Najlepszym rozwiązaniem w takim przypadku wydaje się implementacja przez producentów dodatkowej funkcjonalności w ich wtyczkach. W przypadku wykrycia na komputerze użytkownika jej starej wersji, miałaby ona wyświetlać informację, że brak jej aktualizacji może narazić komputer na niebezpieczeństwo.


Zobacz również