Gyurkity Péter
Újra veszélyben a Microsoft böngészője
A Secunia biztonsági cég közleménye szerint máris felbukkant az első olyan kártevő, amely az Internet Explorer kedden nyilvánosságra hozott kritikus sebezhetőségét - Iframe - kihasználva terjed a világhálón.
A cég a legveszélyesebb kategóriába sorolta az új sebezhetőséget, amelyen keresztül egy speciálisan szerkesztett weboldal puffertúlcsordulást idézhet elő, és saját kódot futtathat számítógépünkön. A hiba a frame kezelőben található, amelynek segítségével a képernyőt felosztva egyszerre jeleníthetünk meg több html dokumentumot a képernyőn. A sebezhetőséget kedden hozták nyilvánosságra, de a Secunia nyomban leszögezte, hogy a hiba nem érinti a Windows XP második javítócsomagját, így csak azok forognak veszélyben, akik még nem telepítették az operációs rendszer frissítését.
A hírek szerint a Microsoft szakemberei már vizsgálják a sebezhetőséget, de a redmondi céget hivatalosan még nem értesítették a támadó felbukkanásáról. "A vizsgálat lezárása után a Microsoft megteszi a szükséges lépéseket a felhasználók védelme érdekében. A biztonsági rést befoltozó javítást a havonta megjelenő frissítések részeként, vagy - amennyiben indokolt - önálló javításként jelenik meg" - áll a szoftveróriás közleményében. A közlemény azonban kiemeli, hogy a Microsoft nem ért egyet a sebezhetőség korai nyilvánosságra hozatalával, és elítéli a Secunia eljárását: "A Microsoft meggyőződése szerint a sebezhetőség nyilvánosságra hozatala felelőtlen lépés volt, amely súlyos veszélynek teszi ki a felhasználókat. Véleményünk szerint ilyen esetekben a bevett gyakorlatot kell követni és az információt közvetlenül a fejlesztő cégnek kell eljuttatni annak érdekében, hogy a vásárlók minél előbb letölthessék a megfelelő javítást, amely kiküszöböli a problémát."
A jelenlegi helyzetben azonban két választásunk lehet: vagy telepítjük a Windows XP második javítócsomagját, vagy másik böngészőt használunk. Az internetes támadókat figyelő Computer Emergency Readiness Team (CERT) időközben figyelmeztette az amerikai kormányzati hivatalokat és vállalatokat, hogy a sebezhetőség minden olyan alkalmazást érint, amely az Active X vezérlőket használja - példaként említették a Microsoft Outlook és Outlook Express levelező klienst, az America Online böngészőjét, valamint Lotus Notes-ot.
A cég a legveszélyesebb kategóriába sorolta az új sebezhetőséget, amelyen keresztül egy speciálisan szerkesztett weboldal puffertúlcsordulást idézhet elő, és saját kódot futtathat számítógépünkön. A hiba a frame kezelőben található, amelynek segítségével a képernyőt felosztva egyszerre jeleníthetünk meg több html dokumentumot a képernyőn. A sebezhetőséget kedden hozták nyilvánosságra, de a Secunia nyomban leszögezte, hogy a hiba nem érinti a Windows XP második javítócsomagját, így csak azok forognak veszélyben, akik még nem telepítették az operációs rendszer frissítését.
A hírek szerint a Microsoft szakemberei már vizsgálják a sebezhetőséget, de a redmondi céget hivatalosan még nem értesítették a támadó felbukkanásáról. "A vizsgálat lezárása után a Microsoft megteszi a szükséges lépéseket a felhasználók védelme érdekében. A biztonsági rést befoltozó javítást a havonta megjelenő frissítések részeként, vagy - amennyiben indokolt - önálló javításként jelenik meg" - áll a szoftveróriás közleményében. A közlemény azonban kiemeli, hogy a Microsoft nem ért egyet a sebezhetőség korai nyilvánosságra hozatalával, és elítéli a Secunia eljárását: "A Microsoft meggyőződése szerint a sebezhetőség nyilvánosságra hozatala felelőtlen lépés volt, amely súlyos veszélynek teszi ki a felhasználókat. Véleményünk szerint ilyen esetekben a bevett gyakorlatot kell követni és az információt közvetlenül a fejlesztő cégnek kell eljuttatni annak érdekében, hogy a vásárlók minél előbb letölthessék a megfelelő javítást, amely kiküszöböli a problémát."
A jelenlegi helyzetben azonban két választásunk lehet: vagy telepítjük a Windows XP második javítócsomagját, vagy másik böngészőt használunk. Az internetes támadókat figyelő Computer Emergency Readiness Team (CERT) időközben figyelmeztette az amerikai kormányzati hivatalokat és vállalatokat, hogy a sebezhetőség minden olyan alkalmazást érint, amely az Active X vezérlőket használja - példaként említették a Microsoft Outlook és Outlook Express levelező klienst, az America Online böngészőjét, valamint Lotus Notes-ot.