Groźne błędy w przeglądarce Internet Explorer

W przeglądarce Internet Explorer wykryto kilka poważnych błędów, o których nie poinformował do tej pory producent. Co gorsza, są one już aktywnie wykorzystywane i nie ma możliwości zabezpieczenia się przed nimi.

Istniejące już exploity pokazują, że możliwe jest pobranie kodu wykonywalnego z innej witryny, a następnie zapisanie go i uruchomienie lokalnie. W praktyce oznacza to możliwość zaatakowania złośliwym kodem po kliknięciu odnośnika lub otwarciu listu elektronicznego, mimo posiadania w pełni zaktualizowanego Interneta Explorera.

Jedna z luk wykorzystywanych przez exploit znana jest od sierpnia 2003 i pozwala na dowolne operacje na plikach z poziomu HTML. Znajduje się w ona w kodzie odpowiadającym za obsługę obiektów adodb.stream i została uznana za Microsoft za mało istotną, ponieważ pozwala na nadużycia jedynie w przypadku pobrania kodu ze strefy lokalnej. Problem w tym, że pozostałe, wcześniej nie znane luki pozwalają na pobranie kodu z zewnątrz, zapisanie go i wyświetlenie już z zasobów lokalnych.

Luki w Internet Explorerze są tym niebezpieczniejsze, że przeglądarka jest także odpowiedzialna za wyświetlanie kodu HTML w niektórych programach pocztowych (w tym Outlook i Outlook Express) oraz innych zewnętrznych aplikacjach, nie tylko Microsoftu.

W tej chwili nie istnieją łaty na wspomniane luki. Częściowym zabezpieczeniem (kosztem funkcjonalności) może być zablokowanie wykonywania skryptów – w szczególności JavaScript, JScript – oraz ActiveX. Zalecamy jednak używanie jednej z alternatywnych przeglądarek, np. Opery, czy Mozilli.

Źródło: Computerworld – Internet Explorer carved up by zero-day hole | CERT Polska