Nowe krytyczne dziury w IE i SP2

Secunia, duńska firma zajmująca się bezpieczeństwem komputerów, poinformowała o wykryciu dwóch nowych luk w Internet Explorerze. Mogą być one użyte do ataku na komputer korzystający z Windows XP z zainstalowanym dodatkiem Service Pack 2.

Duńska firma uznała dziury w zabezpieczeniach IE za krytyczne. Dotyczą one mechanizmu 'przeciągnij i upuść' (drag and drop) oraz zabezpieczenia blokującego dostęp do lokalnych zasobów komputera (istniejącego w SP2). Wykorzystanie obydwu dziur umożliwia zaatakowanie komputera korzystającego ze wszystkich najnowszych aktualizacji.

Mechanizm ataku polega na umieszczeniu, bez zgody właściciela komputera, na lokalnym dysku skryptu dzięki luce w mechanizmie 'drag&drop' i uruchomieniu go za pomocą zintegrowanego ze stroną pliku pomocy (.hhk), umożliwiającego ominięcie blokady uruchamiania lokalnych plików - umieszczonej w SP2.

Działanie powyższej metody zostało potwierdzone na w pełni uaktualnionych systemach Microsoft Windows XP z dodatkiem SP2 i Internet Explorerem 6</a>. 0.


Zobacz również