Trzecia luka w zabezpieczeniu IE

W Internet Explorerze wykryto trzeci膮 luk臋. Jest to luka krytyczna, kt贸ra pozwala na zdalne wykonanie kodu. Co wi臋cej, opublikowano ju偶 kod "proof of concept", co oznacza, 偶e do momentu udost臋pnienia 艂aty zagro偶one s膮 w pe艂ni zaktualizowane wersje Internet Explorera. Zdaniem specjalist贸w, wkr贸tce pojawi si臋 exploit wykorzystuj膮cy t臋 najnowsz膮 luk臋.

Problem znany jest ju偶 firmie Microsoft, kt贸ra uzna艂a, 偶e luka warta jest wydania poradnika bezpiecze艅stwa i potwierdzi艂a, 偶e pozwala ona na zdalne wykonanie kodu na komputerze ofiary. Wszystko, co musia艂by zrobi膰 u偶ytkownik, to wy艣wietli膰 zawieraj膮c膮 z艂o艣liwy kod stron臋 www lub tylko banner, albo otworzy膰 zainfekowany za艂膮cznik wiadomo艣ci e-mail. Luka wynika z b艂臋du w sposobie, w jaki IE obs艂uguje metod臋 DHTML - createTextRange(), kt贸ry umo偶liwia zdalne wykonanie kodu.

W 艣rod臋 Secunia opublikowa艂a zalecenia dotycz膮ce najnowszej luki, kt贸ra obecnie oceniana jest jako ekstremalnie krytyczna. Wed艂ug firmy Microsoft, luka dotyczy programu Internet Explorer 5.01 SP4 zainstalowanego na systemie Microsoft Windows 2000 SP4, Internet Explorer 6 dla Windows XP SP2 oraz Windows Server 2003, jak r贸wnie偶 Internet Explorer 6 SP1 zainstalowanego na Windows 2000 SP4, Windows XP SP1, Windows 98, 98 SE oraz Millenium Edition. Wed艂ug niekt贸rych doniesie艅, luka zosta艂a r贸wnie偶 stwierdzona w programie Internet Explorer 7 Beta 2 Preview (wydanym w styczniu), jednak Microsoft podkre艣la, 偶e problem nie dotyczy wersji wydanej 20 marca 2006 roku.

Microsoft potwierdzi艂, 偶e pracuje nad poprawk膮, kt贸r膮 zamierza opublikowa膰 w ramach comiesi臋cznej aktualizacji zabezpiecze艅 albo poza cyklem. Firma zaleca u偶ytkownikom, aby do czasu udost臋pnienia 艂aty zachowali ostro偶no艣膰 podczas odwiedzania podejrzanych stron www oraz otwierania za艂膮cznik贸w i klikania odno艣nik贸w z nieznanych 藕r贸de艂. Secunia radzi u偶ytkownikom, aby wy艂膮czyli us艂ug臋 Active Scripting w IE. Wszyscy u偶ytkownicy powinni si臋 upewni膰, 偶e posiadaj膮 uaktualnione oprogramowanie antywirusowe oraz za艂atany system operacyjny.

殴r贸d艂o:
Microsoft TechNet
Secunia
ZDNet