Excel javítva, Internet Explorer még nem
A Microsoft a kedden kiadott közleményeinek megjelenése után nem sokkal arra hívta fel a figyelmet, hogy az Internet Explorer régebbi verzióin egy veszélyes, ez idáig javítatlan biztonsági rés tátong.
Kategóriák: IT-védelem, Biztonság
Szerző: Kristóf Csaba
2010. március 11.
A Microsoft kedden adta ki a márciusi hibajavításait, amelyeket a Windows operációs rendszerekhez, illetve az Excel táblázatkezelőhöz célszerű minél hamarabb feltelepíteni. Azonban alig, hogy a cég két közleményben beszámolt az összesen nyolc darab megszüntetett sérülékenységről, egy újabb biztonsági tájékoztatót is közzétett, amelyben az Internet Explorer súlyos sérülékenységére hívta fel a figyelmet.
Már többször előfordult, hogy a hibajavító keddek után közvetlenül új sebezhetőségekre derült fény a Windowsban vagy a Microsoft különböző alkalmazásaiban. Nyilvánvalóan ez sokszor nem a véletlen műve, hiszen ha ebben az időszakban derül fény egy biztonsági hibára, akkor a következő hibajavító keddig több hét áll a támadók rendelkezésére a biztonsági rés kihasználásához. A Microsoft azért nem miden esetben vár egy hónapot az ilyen, nulladik napi sérülékenységek orvoslásával, és szükség esetén, soron kívüli frissítéssel szünteti meg a rendellenességeket.
A Microsoft legutóbbi közleményéből az derül ki, hogy az Internet Explorer 6-os és 7-es verzióiban egy olyan sebezhetőség lapul, amely speciálisan szerkesztett weboldalak révén válhat kihasználhatóvá, és az érintett rendszerekhez való jogosulatlan távoli hozzáférésre, illetve jogosulatlan kódfuttatásra is lehetőséget adhat. A sérülékenység hátterében vélhetőleg egy memória-, illetve objektumkezelési probléma áll.
A tájékoztató szerint a webböngésző legújabb hibája célzott támadások során már többször szerepet kapott. Andrew Storms, az nCircle Network Security igazgatója úgy tudja, hogy a mostani sérülékenység kihasználásához szükséges kódok még nem érhetők el nyilvánosan. Ezért a szakember szerint a biztonsági problémát valószínűleg vagy a Microsoft egyik ügyfele jelezte a fejlesztőknek, vagy a cég valamely biztonsági partnere hívta fel a figyelmet a kockázatokra.
A Microsoft azt egyelőre nem közölte, hogy mikor válhat elérhetővé az Internet Explorerhez a hibajavítás. Amennyiben a cég szakértői úgy ítélik meg, hogy a biztonsági rés valóban kritikus veszélyességű, és belátható időn belül elkészíthető, illetve kitesztelhető a javításához szükséges patch, akkor nem elképzelhetetlen egy soron kívüli frissítés sem. Erre idén januárban már volt példa, amikor a Microsoft a böngészőjében azt a sérülékenységet orvosolta, amely többek között a Google és további nagyvállalatok elleni támadásokból is kivette a részét. Amennyiben nem lesz soron kívüli foltozás, akkor a javítások legkorábban április 13-án válhatnak majd elérhetővé. A Microsoft a frissítés megjelenéséig az Internet Explorer 8-as verziójára való frissítést, valamint a "Védett mód" lehetőségek szerinti használatát javasolta.
Az Internet Explorer sebezhetőségével kapcsolatban további információk az Isidor Biztonsági Központ weboldalain olvashatók.
A hír a Computerworld biztonság rovatában jelent meg.
Már többször előfordult, hogy a hibajavító keddek után közvetlenül új sebezhetőségekre derült fény a Windowsban vagy a Microsoft különböző alkalmazásaiban. Nyilvánvalóan ez sokszor nem a véletlen műve, hiszen ha ebben az időszakban derül fény egy biztonsági hibára, akkor a következő hibajavító keddig több hét áll a támadók rendelkezésére a biztonsági rés kihasználásához. A Microsoft azért nem miden esetben vár egy hónapot az ilyen, nulladik napi sérülékenységek orvoslásával, és szükség esetén, soron kívüli frissítéssel szünteti meg a rendellenességeket.
A Microsoft legutóbbi közleményéből az derül ki, hogy az Internet Explorer 6-os és 7-es verzióiban egy olyan sebezhetőség lapul, amely speciálisan szerkesztett weboldalak révén válhat kihasználhatóvá, és az érintett rendszerekhez való jogosulatlan távoli hozzáférésre, illetve jogosulatlan kódfuttatásra is lehetőséget adhat. A sérülékenység hátterében vélhetőleg egy memória-, illetve objektumkezelési probléma áll.
A tájékoztató szerint a webböngésző legújabb hibája célzott támadások során már többször szerepet kapott. Andrew Storms, az nCircle Network Security igazgatója úgy tudja, hogy a mostani sérülékenység kihasználásához szükséges kódok még nem érhetők el nyilvánosan. Ezért a szakember szerint a biztonsági problémát valószínűleg vagy a Microsoft egyik ügyfele jelezte a fejlesztőknek, vagy a cég valamely biztonsági partnere hívta fel a figyelmet a kockázatokra.
A Microsoft azt egyelőre nem közölte, hogy mikor válhat elérhetővé az Internet Explorerhez a hibajavítás. Amennyiben a cég szakértői úgy ítélik meg, hogy a biztonsági rés valóban kritikus veszélyességű, és belátható időn belül elkészíthető, illetve kitesztelhető a javításához szükséges patch, akkor nem elképzelhetetlen egy soron kívüli frissítés sem. Erre idén januárban már volt példa, amikor a Microsoft a böngészőjében azt a sérülékenységet orvosolta, amely többek között a Google és további nagyvállalatok elleni támadásokból is kivette a részét. Amennyiben nem lesz soron kívüli foltozás, akkor a javítások legkorábban április 13-án válhatnak majd elérhetővé. A Microsoft a frissítés megjelenéséig az Internet Explorer 8-as verziójára való frissítést, valamint a "Védett mód" lehetőségek szerinti használatát javasolta.
Az Internet Explorer sebezhetőségével kapcsolatban további információk az Isidor Biztonsági Központ weboldalain olvashatók.
A hír a Computerworld biztonság rovatában jelent meg.