Négy kritikus biztonsági rés tátong az Internet Exploreren
Fél év elteltével sem foltozott be négy, az Internet Explorert - pontosabban annak mobilos verzióját - érintő biztonsági sebezhetőséget a Microsoft. A hibákat a HP Zero Day Initiative jelezte a cégnek, miután azonban a javítások nem készültek el a kijelölt határidőre, a szervezet most közzétette a biztonsági réseket.
Négy, az Internet Exploreren tátongó zero day biztonsági hibát tett közzé a HP Zero Day Initiative (ZDI) hasonló sebezhetőségek után kutató kezdeményezése. A ZDI a Microsoft felé már jóval korábban jelezte a hibákat, a cég azonban a kijelölt 120 napos, majd többszöri hosszabbítással mintegy fél évre kitolt határidőn belül nem javította azokat, ezért a HP biztonsági csapata most nyilvánosságra hozta a sebezhetőségeket.
A Zero Day Initiative-et eredetileg a HP által korábban felvásárolt TippingPoint alapította, a kezdeményezés kifejezetten a nagy kockázatot jelentő zero day sebezhetőségek összegyűjtését célozza. A szervezet javarészt különböző, külsős kutatóktól vásárolja meg meg a patch nélküli hibákat, amelyeket saját laboratóriumában hitelesít. A ZDI a felfedezett hibákat ezután jelzi az érintett vállalatok felé, amelyeknek jellemzően 120 napos határidőt ad befoltozásukra, mielőtt közzétenné azokat. Ha a patch elkészült, a szervezet az adott céggel együttműködve teszi közzé a hibával, illetve javításával kapcsolatos tudnivalókat.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
A patch azonban egyelőre várat magára, a helyzetet pedig súlyosbítja, hogy kifejezetten nagy biztonsági kockázatot jelentő biztonsági résekről van szó, miután azok mindegyike távoli kódfuttatást tesz lehetővé. A ZDI először tavaly november 12-én értesítette a redmondi céget a hibákról, majd eső körben május 12-ig, azt követően pedig július 19-ig hosszabbította meg a kijelölt határidőt. Miután a Microsoft ezután is csak egy dátum nélküli "várható javításról" beszélt, a biztonsági szakértők végül július 22-én tették közzé a hibákat.
A SecurityWeek értesülései szerint a biztonsági rések csak a böngésző mobilos Windowsra készült verzióját érintik, az asztali változatnál a fejlesztő már tavaly nyáron befoltozta azokat. A Qualys biztonsági cég műszaki igazgatója Wolfgang Kandek szerint egyelőre nagy valószínűséggel még nem készült a sebezhetőségeket kihasználó rosszindulatú kód - a védekezés mindenesetre nem árthat, erre jelenleg az egyetlen lehetőség, ha a veszélyeztetett platformon kerüljük az Internet Explorer használatát.