Microsoft donosi o atakach wykorzystujących trzy ostatnio wykryte luki w przeglądarce Internet Explorer. Wszystkie trzy luki zostały zgłoszone w zeszłym tygodniu. Początkowo firma Microsoft twierdziła, że nie są jej znane żadne przypadki wykorzystywania tych luk. Obiecała również udostępnić łatę w ramach comiesięcznego cyklu aktualizacji zabezpieczeń. Jednocześnie zaleciła użytkownikom ostrożność podczas surfowania po Sieci oraz, jako rozwiązanie tymczasowe, wyłączenie Active Scripting. Teraz jednak firma daje do zrozumienia, że jeśli liczba ataków będzie utrzymywała się na obecnym poziomie lub wzrośnie, łata zostanie opublikowana wcześniej, tak jak miało to miejsce na początku tego roku w przypadku luki WMF.

Na tym jednak nie kończą się podobieństwa: tak jak w przypadku luki WMF, w Internecie pojawiła się już nieoficjalna łata. Tym razem nie stworzył jej programista, ale firma zajmująca się bezpieczeństwem. Jednak firma Microsoft otrzymała ten sam sygnał co poprzednio: jeśli nie zapewnicie nam bezpieczeństwa, zadbamy o to sami. Mimo to firma, która opublikowała poprawkę, zaleca wykorzystanie jej tylko w ostateczności. Sam Microsoft nie poleca łaty, ostrzegając użytkowników, aby rozważyli ryzyko związane z zainstalowaniem jej na swoich systemach.

Pojawianie się nieoficjalnych łat najwyraźniej zaniepokoiło firmę Microsoft. W ten sposób można częściowo tłumaczyć inicjatywę firmy polegającą na stworzeniu publicznej bazy błędów w Internet Explorerze. Projekt ma na celu zachęcenie użytkowników do zgłaszania różnych problemów w przeglądarce IE, podobnie jak mogą to robić użytkownicy przeglądarki Firefox poprzez system Bugzilla. Chociaż serwis przeznaczony jest do zgłaszania błędów w IE7 i nowszych wersjach przeglądarki, z pewnością będzie on miał wpływ na przyspieszenie procesu publikowania łat na zgłaszane luki.

Ma to ogromne znaczenie szczególnie teraz, gdy luki w IE są powszechnie znane i wykorzystywane do przeprowadzania ataków. Na razie jednak Microsoft planuje wydanie aktualizacji zabezpieczeń dopiero kilka tygodni po pierwszych zgłoszeniach luk zawierających kod "proof of concept". Szkodliwi użytkownicy otrzymują więc dużo czasu na uderzenie. W świecie bezpieczeństwa IT miesiąc to bardzo długi okres czasu. Krytyczne łaty bezpieczeństwa powinny być wydawane jak najszybciej. Nowa baza błędów w IE powinna być krokiem w tym właśnie kierunku.

Źródło: BBC Microsoft Security Response Center Blog ZDNet