Internet Explorer załatany w trybie nadzwyczajnym

30 marca ma ukazać się patch bezpieczeństwa dla Internet Explorera, łatający lukę typu zero-day od kilku tygodniu umożliwiającą przeprowadzanie ataków na tę przeglądarkę. Microsoft z uwagi na duże zagrożenie stwarzane przez wspomnianą dziurę zdecydował się na wydanie łaty poza standardowym cyklem aktualizacji.

To już druga ponadplanowa łata bezpieczeństwa wydana przez Microsoft w tym roku. W styczniu firma zdecydowała się usunąć lukę w Internet Explorerze, która umożliwiła przeprowadzenie w grudniu 2009 r. ataku na Google i inne amerykańskie firmy. Wówczas usunięto także siedem innych błędów.

Zapowiedź opublikowania kolejnej ponadprogramowej poprawki zaskoczyła ekspertów zajmujących się kwestiami bezpieczeństwa. Decyzja o przyspieszonym opublikowaniu łaty świadczy o pojawieniu się coraz większej liczby ataków, wykorzystujących wspomnianą lukę.

Oprócz błędu typu zero-day Microsoft może załatać dwie inne luki w Internet Explorerze. Pierwsza z nich stwarza zagrożenie dla użytkowników korzystających z przeglądarki Microsoftu w systemie Windows XP. Dzięki niej włamywacz może uzyskać dostęp do plików znajdujących się na komputerze ofiary. Druga dziura jest związana z błędem w języku VBScript i wiąże się z niebezpieczeństwem przejęcia całkowitej kontroli nad komputerem.

Przestępcy próbują wykorzystać ten błąd w przeglądarce, zachęcając użytkowników do naciśnięcia klawisza F1 podczas wizyty na specjalnie spreparowanej stronie.

Ponadprogramowa aktualizacja bezpieczeństwa będzie przeznaczona dla wszystkich wersji - IE 5.01, IE6, IE7 oraz IE8 - dla systemów Windows 2000, XP, Vista, Server 2003, Server 2008, Windows 7 a także Server 2008 R2.

Aktualizacja: 31 marca 2010 11:14

Zgodnie z zapowiedziami we wtorek 30 marca Microsoft opublikował ekspresową aktualizację bezpieczeństwa przeznaczoną dla różnych wersji Internet Explorera. Wczorajsza aktualizacja łata aż 10 luk bezpieczeństwa w przeglądarce Microsoftu. Wszystkim przyznano status krytycznych, najwyższy w czterostopniowym rankingu zagrożeń Microsoftu. Pierwotnie przeznaczone dla nich poprawki miały pojawić się w kolejnej, planowej aktualizacji bezpieczeństwa, której termin opublikowania przypada na 13 kwietnia.

W aktualizacji oznaczonej jako MS10-018 załatano dwa krytyczne błędy w najnowszej wersji Internet Explorera 8.

Do przyspieszonego wydania poprawek bezpieczeństwa dla Internet Explorera, Microsoft został zmuszony przez nasilające się ataki na IE 6 oraz IE 7, przeprowadzane za pomocą specjalnie przygotowanych stron. Wykorzystywały one błąd wykryty jeszcze w połowie listopada 2009 r. przez pekińską firmę zajmującą się bezpieczeństwem.

Najnowsze poprawki dla Internet Explorera można pobrać na stronie Microsoft Update lub poprzez system automatycznej aktualizacji.