Kritikus sebezhetőség az IE6 és 7 böngészőkben

Biztonsági tesztek megerősítették, hogy a közzétett támadó HTML/CSS kód vagy összeomlasztja az azt feldolgozó IE6/7 szoftvereket, vagy lehetőséget teremt tetszőleges program rendszerbe injektálására. A kritikus sebezhetőséget az elemzések szerint a mshtml.dll (Microsoft HTML Viewer) memóriakorrupciót okozhat, ha bizonyos CSS-elemekhez a \"getelementsbytagname\" JavaScript-metódussal fér hozzá. Lehetséges ugyanis, hogy olyan objektumhoz akarjon hozzáférni a szoftver, melyet már töröltek, így a támadó saját kódjával helyettesítheti azt - így megvalósul a támadás.

A Microsoft vizsgálatot indított, és megállapította, hogy az Internet Explorer 6 és 7 böngészői a a Windows XP, Server 2003, Vista és Server 2008 összes támogatott verzióján sebezhetőek, ráadásként pedig az IE6 SP1 és Windows 2000 SP4 kombinációk is. A cég egyúttal közölte, hogy az IE8 nem érintett, valamint hozzátette, hogy az IE5.01 SP4 kiadása sem, amely tipikusan egyes Windows 2000 gépeken teljesít még szolgálatot - a HWSW oldalait az elmúlt 30 napban összesen öt alkalommal látogatták meg IE5.01 alól.

A Microsoft javasolja, hogy nem megbízható weboldalak látogatása esetén a lehető legmagasabbra állítsuk az IE biztonsági szintjét, például az IE7 védett üzemmódja Windows Vistán korlátozza a támadás kockázatait, míg Server 2003 és 2008 környezetekben alapértelmezetten csökkentett módban fut a böngésző. A Microsoft további javaslataként a böngészőt futtató felhasználók jogait korlátozva csökkenthetjük a kockázatokat.

A biztonsági közlemény szerint a Microsoftnak nincs tudomása, hogy a 0-day támadási lehetőséget valóban kihasználná bárki is, és a vizsgálat végén dől el, hogy készít-e hozzá patchet, valamint hogy az a rendes havi frissítési ciklusba kerül bele, vagy soron kívül adja-e ki. A következő patch kedd december 8-ára esedékes, vagyis két hét múlva.