Internet Explorer 6 i 7 - Microsoft potwierdza lukę "zero-day"

Przedstawiciele koncernu z Redmond oficjalnie potwierdzili, że w zabezpieczeniach przeglądarki Internet Explorer w wersji 6 i 7 znajduje się poważny błąd. Co więcej - istnieje już exploit umożliwiający wykorzystanie tej luki do zaatakowania komputera z Windows. Ale Microsoft uspokaja, że na razie nie odnotowano zwiększenia liczby ataków na IE.

Exploit wykorzystujący wykryty właśnie błąd w IE 6 i 7 pojawił się już w ubiegłym tygodniu - opublikowano go w piątek w serwisie Bugtraq. Początkowo Microsoft nie komentował tych doniesień - firma ograniczyła się do poinformowania, że zamierza przeanalizować ów złośliwy kod. Teraz, po przeprowadzeniu niezbędnych testów, koncern oficjalnie potwierdził, iż luka istnieje. "Faktycznie, w Sieci dostępny jest exploit, pozwalający na zaatakowanie Internet Explorera przez nieznany wcześniej błąd w zabezpieczeniach. Problem dotyczy przeglądarki w wersji 6 oraz 7 - ale użytkownicy najnowszego wydania (IE8) są w pełni bezpieczni" - napisał rzecznik Microsoftu w wydanym właśnie specjalnym oświadczeniu.

Warto zaznaczyć, że IE6 i IE7 to wciąż bardzo popularne przeglądarki - korzysta z nich w sumie ok. 41% wszystkich internautów (wedle najnowszy statystyk zebranych przez firmę Net Applications). Z IE8 korzysta niewiele ponad 18% użytkowników Internetu.

Dodajmy, że w miniony weekend ów exploit na nowe luki w IE został szczegółowo zbadany przez ekspertów z firmy Symantec. Twierdzą oni, że kod co prawda działa - ale bardzo niestabilnie. "Jest kiepsko napisany, co przekłada się na niewielką skuteczność - nie zmienia to jednak faktu, że w sprzyjających okolicznościach zadziała. Ale powody do obaw są - spodziewamy się, że lada chwila może pojawić się znacznie bardziej dopracowana i skuteczna wersja" - napisano w firmowym blogu w sobotę.

Z informacji przedstawionych przez duńską firmę Secunia (specjalizującą się m.in. w gromadzeniu i analizowaniu informacji o lukach w popularnym oprogramowaniu) wynika, że błąd jest "wysoce krytyczny" i może posłużyć do przejęcia pełnej kontroli nad komputerem z Windows XP SP3 (z zainstalowanymi wszystkimi niezbędnymi poprawkami).

Microsoft na razie nie poinformował, które wersje Windows są podatne na atak. Prawdopodobnie będzie to m.in. Vista (standardowo wyposażona w Internet Explorera 7), ale Windows 7 raczej nie (bo tam domyślną przeglądarką jest już IE8 - a ta, jak wiemy, na atak nie jest podatna).

Na razie nie wiadomo też, kiedy można spodziewać się odpowiedniej poprawki - na pytanie o jej dostępność rzecznik firmy odpowiedział standardowo: "Prowadzimy właśnie dokładne analizy problemu i gdy tylko dowiemy się wszystkiego na ten temat, podejmiemy działania niezbędne do zapewnienia naszym klientom pełnej ochrony. Owa pomoc może mieć postać poprawki udostępnionej zgodnie z naszym harmonogramem (czyli w drugi wtorek miesiąca), łaty opublikowanej poza stałym cyklem lub instrukcji, dzięki której klienci będą mogli tymczasowo zabezpieczyć swoje systemy" - napisano w oświadczeniu.

Zdaniem niektórych specjalistów, z dotychczasowych reakcji Microsoftu jasno wynika, że raczej nie powinniśmy spodziewać się udostępnienia poprawki w najbliższych tygodniach. "Na razie nie pojawił się nawet oficjalny alert w tej sprawie, nie ma też żadnej instrukcji zabezpieczenia IE. Bardzo wątpię, czy Microsoft będzie miał gotową poprawkę 8 grudnia [czyli w drugi wtorek miesiąca - red.]" - komentuje Andrew Storms, szef działu bezpieczeństwa firmy nCircle Network Security.

Według Stormsa, bardziej prawdopodobne jest szybkie pojawienie się i instrukcji tymczasowego zabezpieczenia IE 6 i 7. Dodajmy, że takie wskazówki opublikował już w sobotę Symantec - koncern zalecił użytkownikom wyłączenie w przeglądarkach obsługi skryptów JavaScript (ponieważ wykorzystuje je dostępny obecnie exploit). Aby to zrobić, należy w IE wybrać menu Narzędzia -> Opcje internetowe -> Zabezpieczenia -> Poziom niestandardowy (a następnie odznaczyć odpowiednie pole).