Patch-kedd után 0-day szerda: javítatlan sebezhetőség maradt az Internet Explorerben
Minden idők legnagyobb frissítéscsomagját adta ki tegnapelőtt a Microsoft, mégis maradtak foltozatlan biztonsági lyukak a vállalat szoftvereiben. A szakembereket az Internet Explorerben és a WordPadben felfedezett sebezhetőségek foglalkoztatják a leginkább.
A redmondi cég összesen négy kritkus sérülékenységet foltozott kedden az Internet Explorerben, azonban felbukkant egy újabb, amelyet Ázsiában máris támadnak, bár a jelentések szerint a támadókód elég megbízhatatlan, csak az esetek harmadában működőképes. A biztonsági rés a böngésző HTML-megjelenítő motorjában található, és a span HTML-tag segítségével használható ki.
A Microsoft megerősítette, hogy a tegnapi frissítések során erre a hibára nem adott ki javítást és jelenleg is vizsgálja a beérkezett jelentéseket. A sebezhetőség egy teljesen frissített Windows XP SP3 operációs rendszerre telepített Internet Explorer 7-ben is jelen van -- a Vista érintettségét egyelőre nem erősítették meg.
Szakemberek egybehangzó véleménye szerint nem véletlen, hogy a támadások éppen a decemberi patch-kedden indultak útjukra, ez arra enged következtetni, hogy a bűnözők már korábban felfedezték ezt a sérülékenységet és elkezdték a támadó kódokat fejleszteni. Mivel a Microsoft havonta egyszer ad ki frissítést a szoftvereihez, elméletileg január közepéig szabadon garázdálkodhatnak ezek a kódok, persze ha a helyzet súlyosbodik, a redmondiak alighanem soron kívüli javítást adnak majd ki.
Biztonsági hibát találtak a WordPad Tect Converterben is, amelyet már szintén támadnak, noha ez a sérülékenység Windows XP SP3, Windows Vista és Windows Server 2008 operációs rendszeren már nem használható ki, csak korábbi Windows-változatokon. A sikeres támadáshoz egy előre preparát WordPad-állományt (.wri) kell megnyitni az áldozatnak, ezzel távoli felhasználó az éppen bejelentkezett felhasználóéval megegyező jogosultságokat szerezhet. A Microsoft megkezdte a sebezhetőség kiértékelését.