Újabb biztonsági hiba a Windowsban

A nyilvánosságra hozott figyelmeztetés szerint olyan hiba van a Windows MHTML (Mime HTML) protokollkezelésében, amelyet kihasználva egy weboldalról támadók rosszindulatú szkriptet futtathatnak a felhasználó gépén - hasonlóan a cross-site scripting (XSS) támadásokhoz. A módszerrel felhasználói adatok tulajdoníthatók el (például a felhasználó adott oldalon érvényes sütijei), de a támadó szélsőséges esetben akár a felhasználó nevében e-maileket is küldhet egy webes levelezőből, magyarázza Andrew Storms, az nCricle Security biztonsági vezetője.

A hazai IT felrázásához haza kell hozni a legjobbjainkat Az elvándorolt szakemberek visszacsábítása komoly kihívás, azonban számos ország már megmutatta, hogy ez nem lehetetlen feladat.

Az MHTML protokoll több formátum, képek, Java kisalkalmazások, Flash animációk és hasonlók kezelésére szolgál. A ma elterjedt böngészők közül az Opera és az Internet Explorer támogatja natívan, a Firefox csak külön kiegészítővel, a WebKit-alapú Chrome és Safari pedig egyáltalán nem. Szakértők szerint elsősorban az Internet Explorer felhasználói lehetnek veszélyben a hiba miatt, mivel ez a böngésző a legelterjedtebb, bár a Microsoftnak egyelőre nincs tudomása arról, hogy a sérülékenységet aktívan ki is használnák.

A sebezhetőségről elsőként egy kínai weboldal számolt be, ahol a támadó kódot is közzétették. A redmondi vállalat a biztonsági figyelmeztetéssel együtt egy Fix-it csomagot is kiadott, amely a regisztrációs adatbázis módosításával veszélyesnek minősíti az MHTML protokollon keresztül érkező tartalmakat, amelyeket ezt követően csak a felhasználó megerősítése után dolgoz fel a szoftver. Mivel a Windows összes támogatott verzióját érinti a hiba, XP-től 7-ig, Server 2003-tól 2008 R2-ig, valószínűleg a javítás csak a márciusi frissítőkeddre készül el, mivel a februáriig már csak alig több mint egy hét van hátra.