Újabb rés az Internet Explorerben

Egy holland egyetemi hallgató szerint a Microsoft által kiadott ideiglenes javítás nem foltozza be azt a biztonsági rést, amelyen keresztül az esetleges támadók tetszőleges kódot futtathatnak számítógépeinken.

A redmondi cég oldalán pénteken jelent meg a böngésző frissítése, ami megakadályozza a kémszoftver által használt trójai vírus terjedését. A hírek szerint azonban újabb hasonló résre bukkantak, ami valószínűleg elkerülte a Microsoft programozóinak figyelmét. A veszélyre egy holland egyetemi hallgató, Jelmer Kuperus hívta fel a figyelmet, aki szerint a javítással csak a probléma egy részét oldották meg, és a Download.Ject néven ismert sebezhetőség módosított változatával továbbra is tetszőleges kódot futtathatunk a számítógépen a felhasználó tudta nélkül.

Kuperus eljárása mindössze annyiban tér el az eredeti megoldástól, hogy a javításban érintett ADODB.Stream objektum helyett a Shell.Application ActiveX objektumokat használja a böngészőn keresztül indított támadásban. Kuperus hangsúlyozta, hogy a jelenleg elérhető biztonsági frissítések nem nyújtanak védelmet a behatolás ellen. Elmondása szerint a hiba nem új, ugyanis egyes biztonsági fórumokon már januárban megjelent. Veszélyességét akkor minimálisnak vélték, ám időközben kiderült, hogy két másik sebezhetőséggel együtt használva akár a számítógép teljes irányítását is átvehetjük.

"Manapság leginkább összetett támadásokkal találkozunk, amelyek egyszerre több kisebb sebezhetőséget használnak ki" - jelentette ki Kuperus. "Ezek a sebezhetőségek önmagukban nem jelentenek veszélyt, ám együttes használatuk komoly fenyegetést jelent számítógépeinkre nézve."

A Microsoft szóvivője elismerte a hiba jelenlétét, és sietett leszögezni, hogy hamarosan újabb javítást adnak ki a böngészőhöz. Számos szakértő ugyanakkor egyéb böngészők használatát javasolja, mivel az Internet Explorer túlságosan sebezhetővé vált.