IE - znów 'krytyczna' dziura

Microsoft nie ma ostatnio dobrej passy - firma Secunia po raz kolejny poinformowała o wykryciu 'krytycznej' luki w zabezpieczeniach przeglądarki Internet Explorer. Tym razem 'dziura' umożliwia zdalne umieszczenie dowolnego programu na dysku komputera (np. w folderze Autostart - dzięki czemu plik taki zostanie uruchomiony przy starcie systemu).

Lukę znaleziono w mechanizmie 'drag and drop' (przeciągnij i upuść) - zdaniem ekspertów z firmy Secunia, pozwala ona na umieszczenie na stronie WWW dowolnego elementu (np. programu), który podczas próby przeciągnięcia do innego okna zostanie automatycznie skopiowany na dysk komputera. Niewykluczone jest też, iż hakerzy będą w stanie tak wykorzystać ową 'słabość' Internet Explorera, że do skopiowania pliku nie będzie potrzebne przeciągnięcie, lecz tylko pojedyncze kliknięcie na wybrany element strony WWW.

Pobrany nieświadomie przez internautę plik (np. robak lub koń trojański) może zostać skopiowany np. do folderu Autostart - dzięki temu zostanie on uruchomiony przy kolejnym starcie systemu Windows. Błąd jest tym niebezpieczniejszy, że, jak wykazały testy, podatny na atak z jego wykorzystaniem jest nawet system Windows XP z zainstalowanym Service Packiem 2 (który, jak deklaruje Microsoft, miał wreszcie uczynić ten OS bezpiecznym). Problem dotyczy przeglądarki Internet Explorer w wersjach 5.1, 5.5 oraz 6.0.

Jak wyłączyć wykonywanie aktywnych skryptów w IE?

W IE należy przejść do menu Narzędzia -> Opcje internetowe -> Zabezpieczenia -> Poziom niestandardowy - w polach Wykonywanie aktywnych skryptów i Wykonywania skryptów apletów języka Java należy zaznaczyć pozycje Wyłącz.

Secunia kilka dni temu informowała o innej 'krytycznej dziurze' w zabezpieczeniach IE - umożliwiała ona zamaskowanie właściwego adresu strony WWW (szerzej pisaliśmy o tej sprawie tutaj). Zalecenia firmy dla użytkowników Internet Explorera nie zmieniły się od tego czasu - skutecznymi sposobami zabezpieczenia się przed atakiem (w obu przypadkach) jest wyłączenie w przeglądarce aktywnych skryptów lub skorzystanie z alternatywnych przeglądarek - np. Opery, Mozilli lub Firefoxa.


Zobacz również