Niedawno Microsoft świętował zakończone sukcesem wprowadzenie na rynek przeglądarki Internet Explorer 7. Jednak, wygląda na to, że nie wszystko poszło zgodnie z planem. Zaledwie kilka godzin po udostępnieniu przez Microsoft nowej wersji swojego programu Secunia poinformowała o wykryciu w nim luki. Firma ta twierdzi, że usterka została początkowo wykryta w 2005 roku w wersji IE6. Okazało się, że jest obecna również w nowej inkarnacji przeglądarki Microsoftu.

Luka ta umożliwia szkodliwym użytkownikom kradzież prywatnych informacji. Może być również wykorzystana do przeprowadzenia ataku typu phishing. Secunia opisuje usterkę w następujący sposób: "luka spowodowana jest błędem w obsłudze przekierowań". Do wycieku danych mogłoby dojść wtedy, gdyby użytkownik otworzył specjalnie spreparowaną stronę www i był jednocześnie zalogowany w innym, bezpiecznym serwisie, takim jak na przykład strona z kontem bankowości internetowej.

Microsoft próbował już uspokoić obawy użytkowników dotyczące bezpieczeństwa nowych produktów. Z informacji zamieszczonej w blogu Microsoft Security Response Center wynika, że firma wie o najnowszych doniesieniach o usterce, twierdzi jednak, że luka nie występuje w IE7 ani w żadnej wersji przeglądarki IE. W rzeczywistości, jest to błąd w komponencie programu Outlook Express, który jest obecnie badany.

W tym samym czasie, w którym pojawiły się doniesienia o luce w IE7, znaleziono usterkę w przeglądarce Opera (wersje 9.0 i 9.01 dla systemu Windows i Linux). Także tą usterkę zgłosiła Secunia, która uważa, że jest ona poważniejsza niż problem w IE, i klasyfikuje ją jako "wysoce krytyczną". Według tej duńskiej firmy, luka w Operze występuje wtedy, gdy przeglądarka próbuje przetwarzać bardzo długie adresy URL, co powoduje przepełnienie buffora. Osoby atakujące mogą wykorzystać ten problem i zdalnie zainstalować oraz wykonać złośliwy kod na komputerze ofiary. Secunia zaleca użytkownikom Opery uaktualnienie programu do wersji 9.02.

Źródło: Ars Technica MSRC Blog Secunia The Register

  <