"Olbrzymi wzrost" liczby ataków przez lukę w Internet Explorerze

Microsoft ostrzega przed ogromnym wzrostem liczby cyberataków wykorzystujących niezałataną lukę w przeglądarce Internet Explorer. W dużej mierze exploity rozpowszechniane są za pośrednictwem sfałszowanych stron internetowych (np. zhakowanych serwisów oferujących treści pornograficzne).

Wzrost liczby zagrożeń czyhających na użytkowników przeglądarki odnotowali pracownicy Microsoftu na blogu Malware Protection Center. Przypomnijmy, że chodzi o lukę obecną w Internet Explorerze 5, 6, 7 i 8 Beta 2. Błąd dotyczy sposobu, w jaki aplikacja obsługuje wiele typów danych.

"Problem związany jest z funkcją Data binding w Internet Explorerze - gdy jest ona uaktywniona (ten stan jest domyślny w IE) to w pewnych warunkach możliwe jest nieprawidłowe zwolnienie obiektu, co pozwala na uzyskanie dostępu do przypisanego do niego obszaru pamięci. To może sprawić, że Internet Explorer niespodziewanie się wyłączy i można będzie to wykorzystać do uruchomienia złośliwego kodu" - tłumaczą przedstawiciele koncernu.

Na problem zwracają uwagę również firmy produkujące oprogramowanie zabezpieczające, np. Trend Micro. Spółka poinformowała o zidentyfikowaniu co najmniej 6 tysięcy stron internetowych rozpowszechniających exploity wymierzone w przeglądarkę Microsoftu. Tak jak w przypadku wcześniejszych ataków na szerszą skalę wykorzystujących legalnie działające serwisy WWW, przestępcy w pierwszej kolejności używają metody znanej jako "SQL injection" do przejęcia kontroli nad witryną, dzięki czemu mogą potem uruchamiać w zaatakowanym serwisie niebezpieczne oprogramowanie, zwykle w postaci kodów JavaScript.

Producent przeglądarki przekonuje, że prace nad łatą usuwającą opisywany problem już trwają; nie wiadomo jednak, kiedy stosowne uaktualnienie ma zostać udostępnione użytkownikom. Część ekspertów spodziewa się, że nastąpi to wcześniej niż 13 stycznia 2009 r. (spodziewana data wydania następnego pakietu łat dla produktów Microsoftu). Koncern do czasu przygotowania patcha zaleca internautom korzystającym IE kilka sposobów zabezpieczenia przeglądarki.