Windows - luka w ActiveX

Microsoft sprawdza doniesienia o kolejnym błędzie w systemie Windows. Tym razem problem dotyczy kontrolek ActiveX - z pierwszych informacji wynika, że błąd jest "krytyczny", co oznacza, że pozwala on zdalnemu napastnikowi na przejęcie pełnej kontroli nad zaatakowanym systemem.

Na taki atak narażony jest system, w którym uruchomiony jest zestaw narzędzi Microsoft XML Core Services 4.0 - czyli Windows 2000 Service Pack 4, Windows XP Service Pack 2, Windows Server 2003 oraz Microsoft Windows Server 2003 Service Pack 1.

Eksperci z francuskiego zespołu FSIRT (French Security Incident Response Team) uznali lukę za krytyczną - ich zdaniem, umożliwia ona skuteczne zaatakowanie komputera poprzez odpowiednio spreparowaną stronę WWW. Atak przeprowadzony za pośrednictwem dziurawej kontrolki ActiveX XMLHTTP 4.0 pozwoli zdalnemu użytkownikowi na uzyskanie dostępu do maszyny z takimi samymi uprawnieniami, jak aktualnie zalogowany użytkownik.

Microsoft bada problem - stosowne uaktualnienie firma udostępni najprawdopodobniej 14 listopada (czyli tradycyjnie - w drugi wtorek miesiąca). Na razie użytkownicy, którzy obawiają się ataku, mogą zabezpieczyć się tymczasowo - poprzez wyłączenie wadliwej kontrolki (odpowiednią instrukcję można znaleźć na stronie Microsoftu). Warto jednak zaznaczyć, iż jej wyłączenie może sprawić, że niektóre strony nie będą wyświetlały się prawidłowo w IE.


Zobacz również