IE: stary błąd, nowe zagrożenie
Firma Secunia poinformowała o przyznaniu jednemu ze znanych już od kilku miesięcy błędów w przeglądarce Internet Explorer statusu "ekstremalnie krytycznego". Początkowo ekspertom wydawało się, że wykryta w marcu luka umożliwia jedynie przeprowadzenie ataku Dos - teraz okazało się, że może ona w łatwy sposób zostać wykorzystana do nieautoryzowanego uruchomienia kodu.
Błąd wykrył Benjamin Tobias Franz - 9 miesięcy temu poinformował on, że w zabezpieczeniach przeglądarki Internet Explorer jest luka, która sprawia, że pewnych okolicznościach IE nie jest w stanie poprawnie uruchomić funkcji "Window( )". Początkowo wydawało się, że jedyną konsekwencją takiego błędu jest fakt, iż umożliwia on zawieszenie przeglądarki.
Teraz na jaw wyszło - dzięki analizie problemu, przeprowadzonej przez S. Pearsona z serwisu http://Computerterrorism.com - że błąd pozwala również na nieautoryzowane uruchomienie kodu na zaatakowanej maszynie. Na taki atak podatna jest przeglądarka w wersji 5.5 oraz 6.x. Dlatego też firma Secunia zdecydowała się na przyznanie luce statusu "ekstremalnie krytycznej".
Microsoft został poinformowany o problemie zaraz po jego wykryciu - w marcu br. Na razie firma nie przygotowała uaktualnienia usuwającego dziurę w zabezpieczeniach IE.
Więcej informacji: Secunia - http://secunia.com/advisories/15546/, Computerterrorism - http://www.computerterrorism.com/research/ie/ct21-11-2005.