Kritikus nulla napos hiba megnyitása lyukakat az IE 6 és 7

Egy újonnan felfedezett fenyegetés, amely még nincs javítással, lehetővé teszi a webes támadást a naprakész Internet Explorer 6 és 7 böngészők ellen a biztonsági cégek szerint.

Mind a Symantec és a Vupen Security figyelmeztetéseket küldtek a hibáról, amely magában foglalja azt a módot, ahogyan az IE kezeli a lépcsőzetes stíluslapokat vagy a CSS-t. A hozzászólások szerint egy beágyazott támadási kóddal rendelkező webhely böngészése indítaná a támadást. A webhely lehet egy kifejezetten létrehozott rosszindulatú weboldal, vagy az egyik lefújta, és a támadási kódot beillesztette.

Vupen hozzászólásai szerint a hiba mind az IE 6-at, mind a 7-et egy teljesen javított XP SP3 számítógépen érinti, és lehetővé teheti a futást bármelyik parancs egy sérülékeny rendszeren, például rosszindulatú program telepítésével. Nincsenek bejelentések az aktív támadásokról, de a kód kihasználása nyilvánosan elérhető.

[További olvasnivalók: A rosszindulatú programok eltávolítása Windows számítógépről]

A Symantec hozzászólásai szerint a tesztek megerősítik a közzétett kizsákmányoló munkákat, ez "a rossz megbízhatóság jeleit mutatja", azaz. nem mindig működik. A Symantec egy újabb e-mailje szerint a Vista is érintett, de a Microsoft még nem erősítette meg a sérülékenységet.

Az IE-t érintő nulla nap általában nagy veszélyt jelent, így a támadók valószínűleg elkezdenek elrejteni a támadást, amely erre a hibára irányul veszélyeztetett weboldalakat, és az e-maileket és az online megjegyzéseket a támadásokkal rendelkező webhelyek linkjeire futtatja.

Vupen szerint az Active Scripting letiltása az interneten és a helyi intranetes biztonsági zónákban blokkolja a támadásokat ezzel a hibával szemben. valószínűleg blokkolja a webhely funkcionalitását is. A jelenlegi jelentések szerint az IE 8 nem minősül kiszolgáltatottabbnak, de a Symantec figyelmeztet arra, hogy "vannak olyan lehetőségek, amelyek az IE és a Windows egyéb verziói is érintettek lehetnek." A legjobb megoldás lehet egy másik böngésző használata, például a Firefox, amíg nem érhető el javítás.

Frissítés (13:55) : A Microsoft megerősítette, hogy a biztonsági rés az IE 6 és IE 7-et érinti, de nem az IE 8-at. A cég azt állítja, hogy jelenleg nem ismeri fel a hiba elleni támadást, és elhatározhatja, hogy a vizsgálat befejezése után felszabadít egy out-of-band javítást.