Nieoficjalny patch usuwa lukę w Windows URI

Specjalista ds. zabezpieczeń o pseudonimie KJK::Hyperion (znany również jako Hackbunny) opublikował na swojej stronie internetowej poprawkę dla systemu Windows, usuwającą z niego poważny błąd związany z modułem URI (Universal Resource Identifier).

Informacja o luce została potwierdzona przez Microsoft w ubiegłym tygodniu - koncern przyznał, że Windows XP oraz Windows Server 2003 z przeglądarką Internet Explorer 2007 są podatne na atak przeprowadzony za pośrednictwem "złośliwego" odnośnika URL. Niestety, uaktualnienie usuwające ten problem nie znalazło się w udostępnionym przed tygodniem comiesięcznym pakiecie uaktualnień dla produktów koncernu - Microsoft jak na razie nie poinformował, kiedy dokładnie zostanie udostępniona poprawka (przedstawiciel koncernu ograniczył się jedynie do stwierdzenia, że nastąpi to gdy tylko będzie ona gotowa).

To zmotywowało programistę ukrywającego się pod pseudonimem KJK::Hyperion do przygotowania własnego, nieoficjalnego patcha. Uaktualnie to nosi nazwę "ShellExecuteFiasco" - jego działanie polega na blokowaniu prób wykonania złośliwych odnośników i wymuszaniu normalizacji poprawnych adresów URL.

KJK zastrzega jednak, że osoby, które zdecydują się na zainstalowanie poprawki, robią to na własne ryzyko - "Uaktualnienie w obecnej postaci nie zostało odpowiednio przetestowane i nie mogę dać żadnej gwarancji jego jakości. Radzę więc instalować je z jak największą ostrożnością" - tłumaczy autor patcha.

Microsoft na razie nie skomentował tych doniesień - warto jednak przypomnieć, że koncern zwykle odradza użytkownikom instalowanie jakichkolwiek nieoficjalnych poprawek i dodatków do swoich produktów. Ostrożnie na temat uaktualnienia przygotowanego przez KJK wypowiadają się również przedstawiciele Symanteka - w ostrzeżeniu rozesłanym do subskrybentów serwisu DeepSight zalecają użytkownikom "najwyższą ostrożność w postępowaniu z poprawką".

Więcej informacji o uaktualnieniu oraz plik do pobrania znaleźć można na stronie KJK::Hyperiona.


Zobacz również