2005. január 10. 22:57, Hétfő
Biztonsági cégek szerint egy több mint két hónapja azonosított hiba fenyegeti az Internet Explorerrel böngésző felhasználók számítógépét, és egy támadás ellen az SP2 sem nyújt védelmet.
A Secunia jelentése kiemeli, hogy a biztonsági rés
rendkívül veszélyes, és pusztán egyes weboldalak megtekintése is jelentős veszélynek teszi ki a védtelen rendszereket. A biztonsági cég némileg felelős az események ilyetén alakulásban, hiszen szakembereik már több mint
két hónapja azonosították a hibát, amelynek jelentőségét azonban eleinte alulértékelték, és úgy gondolták, hogy a hiba kihasználása bonyolult eljárást igényel, így a közeljövőben nem várható ilyen jellegű támadás. A Secunia azonban tévedett, és a cég jelenleg rendkívül veszélyesnek ítéli a hibát, amely ráadásul nem is egy, hanem három különböző módon jelenthet veszélyt a felhasználókra nézve.
A jelentés szerint az első hiba az internetes zóna elemeinek átmozgatásakor jön elő - a gondot valójában a kép- és médiafájlokba ágyazott HTML-kód jelenti, amely saját kódot indíthat el a számítógépen. A második rés a biztonsági zónák nem megfelelő elhatárolódásából adódik, és a támadók HTML-Help-Control szolgáltatás segítségével, illetve egy speciális .hkk index fájl révén ugyancsak tetszőleges kódot futtathatnak a védtelen számítógépeken. A harmadik hiba szintén a biztonsági zónák hibás kezelése miatt fordulhat elő, ebben az esetben azonban a támadók egy beágyazott html helpfájlban a "Kapcsolódó Témák" parancsot kihasználva juthatnak hasonló eredményre.
A hiba ellen a Windows XP második javítócsomag sem nyújt védelmet, és a támadók
megkerülhetik a "Zone Lock Down" funkciót is, amely elméletileg megakadályozza, hogy a behatolók saját szkriptet indítsanak el egy helyi rendszeren. A Microsoft egyelőre nem készült el a javítással, és a szoftveróriás szerint a felhasználók a biztonsági szint magasabbra állításával, illetve a drag-and-drop funkció
kikapcsolásával védekezhetnek a hiba ellen.
A hiba tesztelésére a Secunia által készített oldal
Informatika és tudomány