Nieskuteczny patch do IE?

Okazuje się, iż zbiorczy patch dla przeglądarki Internet Explorer, uwzględniający poprawki dla dwóch błędów rozpoznanych jako krytyczne i umożliwiające przejęcie zdalnej kontroli nad komputerem nie spełnia swojego zadania. Udostępniony po raz pierwszy 20 sierpnia, a ponownie 28 sierpnia po naprawieniu błędów związanych z instalacją, doczeka się prawdopodobnie kolejnej edycji.

Krytyczny problem, którego jak się okazuje poprawka nie jest w stanie usunąć, dotyczy niewłaściwego obchodzenia się ze znacznikami obiektów w języku HTML. W sytuacji, gdy przeglądarka natrafi w kodzie strony na odwołanie do serwera sieciowego w celu pobrania pliku i wysyła zapytanie, nie weryfikuje go przy odbieraniu. To pozwala atakującemu na przesłanie przez przeglądarkę dowolnego pliku i uruchomieniu go na komputerze ofiary, z przywilejami użytkownika. O wykryciu niskiej skuteczności patcha poinformowali w ostatnich dniach eksperci ds. zabezpieczeń z firmy eEye Digital Security.

Z ust jednego ze specjalistów eEye Digital Security, padają ostre słowa krytyki dla poczynań koncernu z Redmond. "Jak można spędzić 4 miesiące próbując naprawić cos tak banalnie prostego i w końcowym efekcie nie naprawić tego do końca? Być może przyczyna leży w tym, iż Microsoft korzysta z pomocy zewnętrznych programistów oraz specjalistów ds. zabezpieczeń, którzy tym razem nie spisali się najlepiej..." - przypuszcza Marc Maiffret w wywiadzie udzielonym australijskiemu oddziałowi serwisu ZDNet.

Do czasu poprawienia przez Microsoft patcha, użytkownikom obawiającym się o bezpieczeństwo swoich przeglądarek zaleca się wyłączenie funkcji wykonywania aktywnych skryptów w zakładce dotyczącej zabezpieczeń.

Więcej informacji o problemie: http://www.pcworld.pl/news/58301.html


Zobacz również