Kiszolgáltatott az Internet Explorer

A Microsoft a múlt kedden adta ki a decemberi hibajavításait, amelyek között például Windowshoz, Office-hoz és Internet Explorerhez készült frissítések is megtalálhatók voltak. Még aznap kínai biztonsági kutatók - állításuk szerint tévedésből - közzétettek egy olyan kódot, amely a támadók figyelmét egy Internet Explorerben rejlő hibára hívta fel. A kínai szakemberek úgy gondolták, hogy a kódjuk által kihasználható sérülékenységet a Microsoft kedden megszüntette, azonban a valóságban erre a biztonsági résre nem került folt.

A múlt héten a sebezhetőségekkel foglalkozó biztonsági cégek - köztük az Isidor Biztonsági Központ is - kritikus veszélyességi besorolással rendelkező közleményeket adtak ki, és figyelmeztettek a veszélyekre. A sebezhetőség létezését december 10-én a Microsoft is elismerte, és közölte, hogy vizsgálja a hibát. Azóta folyamatosan kerülnek napvilágra újabb és újabb információk a sérülékenységgel kapcsolatban. Ezek közül a legfontosabb, hogy a Microsoft szerint a biztonsági rés az Internet Explorer egyik, adatkötést megvalósító összetevőjében található, és az Oledb32.dll nevű állományban rejlő hibára vezethető vissza. Ez az Internet Explorer 5.01-es, 6-os és 7-es verziója mellett a 8-as változat béta kiadását is érinti.

A Microsoft egy olyan közleményt is kiadott, amelyben leírja, hogy az Oledb32.dll fájlt miként lehet inaktívvá tenni, és ezzel védekezni a sérülékenység ellen. Azt azonban eddig még nem közölte, hogy a hibajavítás mikor válhat elérhetővé. A következő, tervezett frissítésre csak január 13-án fog sor kerülni, ezért ha a frissítések idejében elkészülnek, akkor a sebezhetőség veszélyességére való tekintettel elképzelhető, hogy a cég soron kívül letölthetővé teszi a szükséges javításokat.

Egyes hírek szerint az Internet Explorer kedden nyilvánosságra került sebezhetősége korántsem ismeretlen az online alvilágban. Az iDefense ugyanis közölte, hogy a webböngésző hibájával kapcsolatos információk vélhetőleg már a múlt hónapban is megvásárolhatók voltak a feketepiacon. Ráadásul novemberben a sérülékenységgel kapcsolatos adatokhoz még 15 ezer dollárért lehetett hozzájutni az Interneten, míg december elejére ez az ár körülbelül 650 dollárra csökkent.

Az Internet Explorer sebezhetőségének kihasználása a támadók szempontjából - megfelelő információk birtokában - nagyon egyszerű, hiszen csak arra kell rávenniük a felhasználókat, hogy látogassanak meg egy speciálisan szerkesztett weboldalt. Amennyiben ezt megteszik, akkor szabad az út a károkozás előtt. Ezért az Internet Explorer felhasználóinak fokozott figyelemmel kell böngészniük az Internetet, és célszerű megtenni a Microsoft által tanácsolt védelmi intézkedéseket, hogy a kockázatok mérsékelhetők legyenek.