Exploit dla IE7 upubliczniony, przez pomyłkę

Chińscy inżynierowie przez pomyłkę opublikowali w Internecie kod, za pomocą którego możliwe jest wykorzystanie luki w przeglądarce od Microsoftu, Internet Explorerze. Może to narazić miliony komputerów na niepotrzebne ryzyko.

Według iDefense, firmy zajmującej się m.in. dostarczaniem rozwiązań mających zapewnić bezpieczeństwo w sieci, czarnorynkowa wartość ujawnionej luki oraz kodu umożliwiającego jej wykorzystanie została oszacowana na ponad 15 tysięcy dolarów. Dzięki jego wykorzystaniu, w najgorszym wypadku komputer może zostać zarażony złośliwym oprogramowaniem jedynie przez wizytę na specjalnie przygotowanej stronie. Na takie niebezpieczeństwo narażone są komputery z zainstalowanym Windowsem XP, bez względu na obecną w systemie wersję Service Packa.

Luka bezpieczeństwa została odkryta na początku tego tygodnia przez chińską grupę "knownsec". Poinformowała ona, że kod umożliwiający jej wykorzystanie został przez nich upubliczniony przez pomyłkę, we wtorek. Jak stwierdziło iDefense, grupa uczyniła to dlatego, że wydawało jej się, iż problem został już rozwiązany.

Upublicznienie kodu do niezałatanej luki oznacza, że więcej hakerów będzie próbowało tworzyć specjalne strony w celu zarażenia komputerów nieświadomych internautów. Jednak iDefense twierdzi, że ujawniony kod był już wcześniej znany. Według niej już w listopadzie informacja o luce bezpieczeństwa miała zostać sprzedana za 15 tysięcy dolarów, a wartość kodu umożliwiającego przeprowadzenie ataku miała osiągnąć u pośredników 650 dolarów.

Microsoft wie o istniejącej luce w swojej przeglądarce, jednak nie poinformował on kiedy zostanie wydany patch rozwiązujący ten problem. O ile ataki z wykorzystaniem odkrytej podatności się nie nasilą, to nie należy się spodziewać wydania łatki wcześniej, niż przy styczniowej, comiesięcznej aktualizacji do produktów firmy z Redmond.