Microsoft opublikował dwa Security Advisories opisujące nowe luki, które stanowią potencjalne zagrożenie dla użytkowników przeglądarki Internet Explorer. Jedna z nich jest krytyczna i przypomina niedawne błędy w WMF, w związku z którymi w okolicach Świąt Bożego Narodzenia w mediach pojawiło się wiele negatywnych reakcji w stosunku do Microsoftu.

Według Microsoftu, nowa luka WMF dotyczy tylko komputerów pracujących pod kontrolą starszych wersji Internet Explorera i Windowsa. Zagrożone wersje programów to Internet Explorer 5.01 (Service Pack 4) pracujący pod kontrolą systemu Microsoft Windows 2000 (Service Pack 4) oraz Internet Explorer 5.5 (Service Pack 2) zainstalowany w systemie Microsoft Windows Millennium. Wszystkie inne wersje są bezpieczne. Luka pozwala na wykonanie dowolnego kodu oraz przejęcie pełnej kontroli poprzez odpowiednio spreparowane pliki WMF.

Metoda ataku jest bardzo podobna do tej zastosowanej w przypadku luki WMF. Użytkownicy muszą jedynie obejrzeć zainfekowany obrazek, odwiedzając spreparowaną stronę lub otwierając specjalnie stworzony załącznik wiadomości e-mail. Problem ten nie jest jednak powszechny, ponieważ nieczęsto mamy do czynienia z kombinacją zagrożonych produktów. Microsoft zaleca użytkownikom aktualizacje do wersji Internet Explorer 6 (Service Pack 1), nie wyklucza jednak wypuszczenia w przyszłości łaty.

Druga luka dotyczy potencjalnego zwiększenia przywilejów szkodliwego użytkownika w systemie Windows XP (Service Pack 1) oraz Windows Server 2003 poprzez słabą kontrolę dostępu. Microsoft zaleca użytkownikom pobranie najnowszych łat, które rozwiązują ten problem. Firma oświadczyła, że nic jej nie wiadomo o atakach wykorzystujących tę lukę.

Źródło: Microsoft TechNet ZDNet