Újabb biztonsági rés tátong az Internet Exploreren

Igencsak mozgalmas évük van azoknak a fejlesztőknek, akik a Microsoftnál az Internet Explorer biztonsági hibáinak javításával foglalkoznak. Januárban a cégnek már egy soron kívüli frissítést is ki kellett adnia a böngésző kritikus veszélyességű sebezhetőségei miatt. A január 21-én megjelent, MS10-002-es számú közlemény az Internet Explorer nyolc sérülékenységéről adott tájékoztatást. Az akkor befoltozott biztonsági rések egyike járult hozzá a Google és további nagyvállalatok ellen tavaly elkövetett internetes támadásokhoz, ami jól mutatta a hiba veszélyességét. A fejlesztők azonban nem sokáig dőlhettek hátra, hiszen a javításaik közzététele után alig pár nappal Jorge Luis Alvarez Medina, a Core Security Technologies egyik biztonsági kutatója a böngésző újabb hibájáról számolt be, amelynek létezését egészen mostanáig a Microsoft nem erősítette meg.

A Microsoft az Internet Explorer sebezhetőségével kapcsolatban kiadott legutóbbi tájékoztatója ugyan még nem nevesíti a biztonsági rés felfedezőjét, de a sérülékenység leírásából arra lehet következtetni, hogy a cég a közleményében tulajdonképpen a Core Security által jelzett rendellenességet ismerteti.

A Microsoft szerint az Internet Explorer hibájának kihasználásával a támadók jogosulatlanul férhetnek hozzá az érintett rendszereken tárolt adatokhoz. A sérülékenység azonban kizárólag akkor jelent veszélyt, ha támadó pontosan tudja, hogy mit keres, azaz tisztában van a megszerzendő állomány nevével. Még ebben az esetben is csak akkor tudja kiaknázni a hibában rejlő lehetőségeket, ha a kiszemelt böngésző nem "védett módban" fut. Az eddigi vizsgálatokból kiderült, hogy a sebezhetőség az Internet Explorer 5.01-es, 6-os, 7-es és 8-as verzióit is érinti. A Microsoft azonban hangsúlyozta, hogy eddig nincs tudomása olyan támadásokról, amelyek során a böngésző e hibáját használták volna ki.

Az Isidor Biztonsági Központ valamint a Secunia a sérülékenységet közepes veszélyességi besorolással látta el. Azt azonban egyelőre nem lehet tudni, hogy a szükséges hibajavítások mikor válhatnak elérhetővé. A Microsoft soron következő hibajavító keddje február 9-én esedékes, de elképzelhető, hogy addig a fejlesztők nem végeznek a frissítés elkészítésével és tesztelésével.

A Microsoft a hibajavítások megjelenéséig azt tanácsolja, hogy a böngészés során a védett mód bekapcsolt állapotban legyen. A kockázatokat segíthet csökkenteni az Internet Explorer egyes biztonsági zónáinak magas szintűre való állítása is. Emellett a támadók kisebb valószínűséggel tudják kihasználni a hibát, ha a felhasználó nem rendszergazdai jogosultságokkal futtatja a böngészőt.