Egyelőre javítatlan marad az Internet Explorer

Kristóf Csaba
2010. december 27., 08:30
Nyomtatás
A Microsoft bejelentette, hogy az Internet Explorerben nemrégen felfedezett, veszélyes sebezhetősége miatt nem fog soron kívüli hibajavítást kiadni. Ezért továbbra is fokozott óvatosságra van szükség.

A Vupen biztonsági kutatói az Internet Explorer vizsgálata során egy súlyos sebezhetőségre derítettek fényt. A sérülékenységgel kapcsolatos információkat megosztották a Microsofttal, azonban a hiba technikai részletei már az interneten is elérhetővé váltak. Emiatt a biztonsági rés által jelentett kockázatok jelentősen megnőttek.

Az Internet Explorer sérülékenysége egy olyan hibára vezethető vissza, amely az mscorie.dll állományban található, és az ASLR (Address Space Layout Randomization) esetenkénti nem megfelelő kezelésére vezethető vissza. J. Serna, a Microsoft egyik mérnöke szerint a probléma abból ered, hogy az egyik összetevő nem mindig engedélyezi automatikusan az ASLR használatát, amelynek fontos szerepe van a támadások kivédésében. A sebezhetőség elsősorban speciálisan összeállított weboldalak megtekintésekor okozhat biztonsági problémákat, de nem megfelelő védelmi beállítások mellett, akár az Outlook levelezőprogramban megtekintett, HTML-formátumú levelek révén is kihasználhatóvá válhat.

A Microsoft viszonylag sokáig vizsgálta a biztonsági hibát, de igazán csak akkor számolt be annak legfontosabb veszélyeiről, amikor a sebezhetőség kihasználására alkalmas exploit kód belekerült a Metasploitba. Ettől kezdve megváltozott a helyzet, ugyanis a sérülékenységben rejlő lehetőségek meglehetősen könnyedén kiaknázhatóvá váltak.

Nem lesz soron kívüli hibajavítás

Joggal merülhet fel a kérdés, hogy a Microsoft mikor fogja befoltozni a biztonsági rést. Carlene Chmaj, a Microsoft Security Response Center (MSRC) szóvivője elmondta, hogy a jelenlegi vizsgálataik szerint a hiba nem éri el azt a veszélyességi szintet, amely soron kívüli frissítést tenne szükségessé. "Folyamatosan figyeljük a fenyegetettségek alakulását, és ha a helyzet úgy kívánja, akkor elérhetővé tesszük a javítást" - tette hozzá a szóvivő. Chmaj szerint a sérülékenység hatása minimális, és nincs tudomásuk arról, hogy a hiba aktív szerepet vállalna a különféle támadásokban.

A Microsoft - amennyiben valóban nem lesz szükség soron kívüli frissítésre - akkor legkorábban január 11-én teszi majd közzé az Internet Explorer összes jelenleg támogatott verzióját érintő sebezhetőség megszüntetésére alkalmas javítását. Addig a cég az EMET eszköz használatát javasolta, illetve közölte, hogy a Windows Vista és Windows 7 operációs rendszerek alatt futtatott Internet Explorer 7-es és 8-as változatainak esetében a biztonsági rés - a Protected Mode-nak köszönhetően - kisebb kockázatot jelent.

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

0 hozzászólás

Ehhez a cikkhez még nem érkezett hozzászólás.
ESET Online Vírusirtó
Céginfó hírek (x)

Kiadó
Partnereink
IDG Worldwide

© 1999-2012 IDG Hungary Médiaszolgáltató Kft. Minden jog fenntartva.