Újabb kritikus sebezhetőség az Internet Explorerben
A múlt héten távoli kódfuttatást lehetővé tevő, kritikus sebezhetőséget találtak az Internet Explorerben, amely a böngésző legújabb verzióját is érinti, Windows 7 operációs rendszeren is. Egyelőre nem tudni, mikor jön a javítás, de a Microsoft nem tud támadásokról.
A Microsoft vizsgálja azt a kritikus sérülékenységet, amelyet múlt héten találtak az Internet Explorerben. A Full Disclosure listára beküldött információk szerint az Internet Explorer 8-as, 7-es és 6-os verziója egyaránt érintett Windows 7, Vista és Windows XP SP3 operációs rendszereken. A beküldő a sebezhetőséget kihasználó példakódot is mellékelt.
A VUPEN Security szerint a probléma oka, hogy mshtml.dll könyvtár hibásan dolgozza fel a CSS @import szabályokat. A sérülékenység távoli kódfuttatást tesz lehetővé, a támadók saját kódjukat csempészhetik az áldozat gépére, adatokat tulajdoníthatnak el vagy törölhetnek, kártevőket telepíthetnek vagy a gépet további támadások indítására használhatják. A sikeres támadás végrehajtásához az áldozatot egy megfelelően preparált weboldalra kell irányítani. A Microsoftnak egyelőre nincs információja olyan támadásokról, amelyeket ezen a sebezhetőségen keresztül hajtanak végre.
Nem tudni, mikor és milyen formában javítja a Microsoft ezt a sérülékenységet. A vállalat december 14-én adja ki havonta szokásos frissítéseit, összesen 17 patch érkezik holnap, amelyek 40 sebezhetőséget foltoznak a cég különféle termékeiben, beleértve a Windowsokat, az Office-t és a SharePointot is. A javítások között csak kettő kritikus besorolású frissítés van, amelyek távoli kódvégrehajtást megengedő hibákat orvosolnak. Az egyik kritikus javítás éppen az Internet Explorer november elején felfedezett puffertúlcsordulásos rését foltozza be.