Megerősítette a Microsoft az IE kritikus sebezhetőségét
A Microsoft karácsony előtt megerősítette, kritikus sebezhetőség van az Internet Explorerben, amely távoli kódfuttatásra ad lehetőséget. A hiba súlyossága azonban nem indokolja soron kívüli javítás kiadását.
December 22-én ismerte be a Microsoft, hogy távoli kódfuttatást lehetővé tevő biztonsági rés van az Internet Explorer jelenleg támogatott összes verziójában (6, 7, 8), azonban egyelőre nincs információja olyan támadásokról, amelyek ezt a sérülékenységet vennék célba, csupán mintakódok léteznek.
A hibára december elején hívták fel a figyelmet biztonsági cégek, miután a sebezhetőséget kihasználó példakódok felkerültek a Full Disclosure biztonsági levelezőlistára. A VUPEN Security szerint a probléma oka, hogy mshtml.dll könyvtár hibásan dolgozza fel a CSS @import szabályokat. A sérülékenység távoli kódfuttatást tesz lehetővé, a támadók saját kódjukat csempészhetik az áldozat gépére, adatokat tulajdoníthatnak el vagy törölhetnek, kártevőket telepíthetnek vagy a gépet további támadások indítására használhatják.
A Windows Vistában, illetve a Windows 7-ben levő "Protected mode" az operációs rendszer többi részétől elválasztva futtatja az Internet Explorert, így ha a támadó le is futtatja kódját, rendszerfájlokhoz vagy rendszerbeállításokhoz nem tud hozzáférni. A Microsoft igyekezett hangsúlyozni, hogy a sikeres támadáshoz az áldozatokat a támadó kódot tartalmazó weboldalra kell csábítani, vagyis a távoli kódfuttatáshoz a technika mellett social engineeringre, vagyis a felhasználók megtévesztésére is szükség van.
A Microsoft Security Response Center blogban olvashatók szerint a vállalat egyelőre nem ítéli olyan súlyosnak a helyzetet, amely rendkívüli javítás kiadását indokolná. A Microsoft következő frissítőkeddje 2011. január 11-én lesz.