Újabb biztonsági hiba a Windowsban

A nyilvánosságra hozott figyelmeztetés szerint olyan hiba van a Windows MHTML (Mime HTML) protokollkezelésében, amelyet kihasználva egy weboldalról támadók rosszindulatú szkriptet futtathatnak a felhasználó gépén - hasonlóan a cross-site scripting (XSS) támadásokhoz. A módszerrel felhasználói adatok tulajdoníthatók el (például a felhasználó adott oldalon érvényes sütijei), de a támadó szélsőséges esetben akár a felhasználó nevében e-maileket is küldhet egy webes levelezőből, magyarázza Andrew Storms, az nCricle Security biztonsági vezetője.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

Az MHTML protokoll több formátum, képek, Java kisalkalmazások, Flash animációk és hasonlók kezelésére szolgál. A ma elterjedt böngészők közül az Opera és az Internet Explorer támogatja natívan, a Firefox csak külön kiegészítővel, a WebKit-alapú Chrome és Safari pedig egyáltalán nem. Szakértők szerint elsősorban az Internet Explorer felhasználói lehetnek veszélyben a hiba miatt, mivel ez a böngésző a legelterjedtebb, bár a Microsoftnak egyelőre nincs tudomása arról, hogy a sérülékenységet aktívan ki is használnák.

A sebezhetőségről elsőként egy kínai weboldal számolt be, ahol a támadó kódot is közzétették. A redmondi vállalat a biztonsági figyelmeztetéssel együtt egy Fix-it csomagot is kiadott, amely a regisztrációs adatbázis módosításával veszélyesnek minősíti az MHTML protokollon keresztül érkező tartalmakat, amelyeket ezt követően csak a felhasználó megerősítése után dolgoz fel a szoftver. Mivel a Windows összes támogatott verzióját érinti a hiba, XP-től 7-ig, Server 2003-tól 2008 R2-ig, valószínűleg a javítás csak a márciusi frissítőkeddre készül el, mivel a februáriig már csak alig több mint egy hét van hátra.