Minden, amit az Internet Explorer hibájáról tudni érdemes

A Microsoft egy biztonsági közlemény keretében hívta fel a figyelmet egy kritikus veszélyességű sebezhetőségre, amely az Internet Explorerben található, és speciálisan szerkesztett weboldalak révén válhat kihasználhatóvá. A támadóknak tulajdonképpen csak azt kell elérniük, hogy a felhasználó az Internet Explorer segítségével megtekintsen egy ártalmas weboldalt, aminek következtében tetszőleges kódokat tudnak feljuttatni a sebezhető rendszerekre. A sérülékenység ezáltal kártékony programok terjesztését is elősegítheti. A biztonsági rés az Internet Explorer 6-os, 7-es és 8-as verzióit érinti. A Microsoft ugyanakkor felhívta a figyelmet arra, hogy az eddigi támadások elsősorban az Internet Explorer 6 felhasználói ellen irányultak.

Minden a spamekkel kezdődött

A böngésző hibájára elsőként a Symantec figyelt fel, amikor olyan spameket szűrt ki, amelyek célzott módon terjedtek, és szállodai foglalásokkal kapcsolatos információkat tartalmaztak. Ezekből a kéretlen levelekből egy olyan weboldal volt elérhető, amely ki tudta használni az Internet Explorer biztonsági rését. "Az e-maileken belül egy olyan link volt megtalálható, amely egy teljesen legális webhelyen elhelyezett (ártalmas) aloldalra mutatott" - mondta Vikram Thakur, a Symantec egyik kutatója. Majd hozzátette, hogy a támadók az érintett webhelyhez korábban szereztek hozzáférést, és annak felhasználásával töltötték fel a kártékony tartalmakat anélkül, hogy arról a webhely üzemeltetője tudott volna.

A Microsoft szerint a sebezhetőséget egy a böngészőben található memóriakezelési rendellenesség okozza, amely a "clip" CSS-tulajdonság nem megfelelő feldolgozására vezethető vissza. A sérülékenységre egyelőre nincs patch, de kockázatcsökkentő lépések tehetők. Egyrészt célszerű meggyőződni arról, hogy a DEP (Data Execution Prevention) engedélyezett-e, és lehetőségek szerint - az Internet Explorer 7-es és 8-as verzióiban - használni kell a Védett módot. E technikák ugyanis képesek mérsékelni a károk bekövetkezésének valószínűségét. A Microsoft jelezte, hogy az Internet Explorer 9-es - jelenleg béta állapotban lévő - változata nem sérülékeny e hiba által.

A két szalmaszál

Felvetődhet a kérdés, hogy a DEP, illetve az ASLR (Address Space Layout Randomization) technológiák mennyiben tudnak hozzájárulni a mostani sérülékenység kockázatainak csökkentéséhez. A kérdés azért is fontos, mert például Peter Vreugdenhil, az idei Pwn2Own hekkerverseny egyik nyertese éppen egy olyan biztonsági rés révén zsebelte be a 10 ezer dolláros jutalmat, amely Windows 7 alatt, Internet Explorer 8 segítségével képes volt hozzájárulni e technikák megkerüléséhez. Néhány hónappal később pedig Ruben Santamarta, a spanyol Wintercore biztonsági cég kutatója fedezett fel egy DEP és ASLR kijátszására alkalmas Internet Explorer hibát. A Microsoft Security Response Center mérnökei ugyanakkor jelezték, hogy a mostani CSS-sebezhetőség kapcsán ennek kicsi a valószínűsége, ugyanis a mostani probléma más memóriakezelési technikák kihasználását követeli meg.

Mikorra készül el a javítás?

A Microsoft még nem közölte, hogy az Internet Explorer sérülékenységének megszüntetéséhez mikor válhat elérhetővé javítás. "A hiba veszélyessége nem éri el azt a szintet, hogy soron kívüli frissítést kelljen kiadni" - mondta Jerry Bryant, a Microsoft szóvivője. Ugyanakkor az is kétséges, hogy a novemberi hibajavító keddre, amely a jövő héten lesz esedékes, elkészül-e egy megfelelően tesztelt patch. Ha a fejlesztők nem végeznek addig a frissítéssel, akkor az is elképzelhető, hogy december 14-ig javítatlanul tátong majd a biztonsági rés a böngészőn.

További információk az Isidor Biztonsági Központ weboldalain olvashatók.