Szerző: Bodnár Ádám

2010. december 27. 13:33:00

Megerősítette a Microsoft az IE kritikus sebezhetőségét

A Microsoft karácsony előtt megerősítette, kritikus sebezhetőség van az Internet Explorerben, amely távoli kódfuttatásra ad lehetőséget. A hiba súlyossága azonban nem indokolja soron kívüli javítás kiadását.

December 22-én ismerte be a Microsoft, hogy távoli kódfuttatást lehetővé tevő biztonsági rés van az Internet Explorer jelenleg támogatott összes verziójában (6, 7, 8), azonban egyelőre nincs információja olyan támadásokról, amelyek ezt a sérülékenységet vennék célba, csupán mintakódok léteznek.

A hibára december elején hívták fel a figyelmet biztonsági cégek, miután a sebezhetőséget kihasználó példakódok felkerültek a Full Disclosure biztonsági levelezőlistára. A VUPEN Security szerint a probléma oka, hogy mshtml.dll könyvtár hibásan dolgozza fel a CSS @import szabályokat. A sérülékenység távoli kódfuttatást tesz lehetővé, a támadók saját kódjukat csempészhetik az áldozat gépére, adatokat tulajdoníthatnak el vagy törölhetnek, kártevőket telepíthetnek vagy a gépet további támadások indítására használhatják.

Machine learning és Scrum alapozó képzések indulnak! (x) A HWSW októberben induló gyakorlatorientált, 10 alkalmas, 30 órás online képzéseire most early bird kedvezménnyel lehet regisztrálni!

A Windows Vistában, illetve a Windows 7-ben levő "Protected mode" az operációs rendszer többi részétől elválasztva futtatja az Internet Explorert, így ha a támadó le is futtatja kódját, rendszerfájlokhoz vagy rendszerbeállításokhoz nem tud hozzáférni. A Microsoft igyekezett hangsúlyozni, hogy a sikeres támadáshoz az áldozatokat a támadó kódot tartalmazó weboldalra kell csábítani, vagyis a távoli kódfuttatáshoz a technika mellett social engineeringre, vagyis a felhasználók megtévesztésére is szükség van.

A Microsoft Security Response Center blogban olvashatók szerint a vállalat egyelőre nem ítéli olyan súlyosnak a helyzetet, amely rendkívüli javítás kiadását indokolná. A Microsoft következő frissítőkeddje 2011. január 11-én lesz.

a címlapról