IE: stary błąd, nowe zagrożenie
-
- Daniel Cieślak,
- 29.11.2005, godz. 15:26
Firma Secunia poinformowała o przyznaniu jednemu ze znanych już od kilku miesięcy błędów w przeglądarce Internet Explorer statusu "ekstremalnie krytycznego". Początkowo ekspertom wydawało się, że wykryta w marcu luka umożliwia jedynie przeprowadzenie ataku Dos - teraz okazało się, że może ona w łatwy sposób zostać wykorzystana do nieautoryzowanego uruchomienia kodu.
Błąd wykrył Benjamin Tobias Franz - 9 miesięcy temu poinformował on, że w zabezpieczeniach przeglądarki Internet Explorer jest luka, która sprawia, że pewnych okolicznościach IE nie jest w stanie poprawnie uruchomić funkcji "Window()". Początkowo wydawało się, że jedyną konsekwencją takiego błędu jest fakt, iż umożliwia on zawieszenie przeglądarki.
Teraz na jaw wyszło - dzięki analizie problemu, przeprowadzonej przez S. Pearsona z serwisuhttp://Computerterrorism.com - że błąd pozwala również na nieautoryzowane uruchomienie kodu na zaatakowanej maszynie. Na taki atak podatna jest przeglądarka w wersji 5.5 oraz 6.x. Dlatego też firma Secunia zdecydowała się na przyznanie luce statusu "ekstremalnie krytycznej".
Microsoft został poinformowany o problemie zaraz po jego wykryciu - w marcu br. Na razie firma nie przygotowała uaktualnienia usuwającego dziurę w zabezpieczeniach IE.
Więcej informacji: Secunia, Computerterrorism.