Gyurkity Péter
Az SP2 ellenére kritikus hibára bukkantak a Microsoft böngészőjében
Egy független biztonsági szakértő kritikus sebezhetőséget fedezett fel az Internet Explorerben, és a hírek szerint a hiba a második javítócsomaggal frissített Windows XP operációs rendszereket is érinti.
A sebezhetőséget rendkívül könnyű kihasználni, ugyanis egy speciálisan megszerkesztett weboldalon elég egyetlen kattintás számítógépünk megfertőzéséhez. A sikeres behatolás után a kártevő az indítópultba helyezi magát, és már a rendszer indulásakor működésbe lép. A biztonsági szakértő - akit az interneten a "http-equiv" néven ismernek - felfedezéséhez egy példát is csatolt, hogy felhívja a figyelmet a veszély komolyságára. "A weboldalon mindössze két piros vonal, valamint egy kép található. Ha megragadjuk a képet, és a két vonal közé húzzuk, máris bemásoltuk a kártevőt az indítópultba. A program a rendszer következő újraindításakor lép működésbe" - áll a példához mellékelt szövegben.
A Secunia szerint az eljárás további finomításával akár az is lehetséges, hogy egyetlen kattintással elvégezzük a fenti példát. A vállalat rendkívül súlyosnak minősítette a sebezhetőséget, és a hibát a második legveszélyesebb kategóriába sorolta. A Microsoft szerint ugyanakkor a hiba nem jelent súlyos fenyegetést a felhasználókra nézve, hiszen a sikeres behatoláshoz mindenképpen szükséges, hogy meglátogassuk a támadók által módosított weboldalt, és végrehajtsuk a szükséges lépéseket. "A sebezhetőség kihasználásához feltétlenül szükséges a felhasználó együttműködése, így a hiba nem nevezhető kritikusnak, és egy ilyen támadás nem jelent súlyos fenyegetést" - jelentette ki a szoftveróriás szóvivője, de hozzátette, hogy a cég szakemberei komoly vizsgálatnak veszik alá a felfedezést.
A hiba felfedezője a sebezhetőség ellenére is úgy véli, hogy a második javítócsomag biztonságosabbá teszi az operációs rendszert, és telepítését mindenki számára javasolja. "A javítás egész tűrhetően lezárja a rendszert, és megvédi azt az eddig felbukkant támadók ellen. Minden bizonnyal a jövőben is újabb hibákra derül fény, de a helyzet alapvetően megváltozott a tavalyi állapotokhoz képest" - jelentette ki "http-equiv".
A sebezhetőséget rendkívül könnyű kihasználni, ugyanis egy speciálisan megszerkesztett weboldalon elég egyetlen kattintás számítógépünk megfertőzéséhez. A sikeres behatolás után a kártevő az indítópultba helyezi magát, és már a rendszer indulásakor működésbe lép. A biztonsági szakértő - akit az interneten a "http-equiv" néven ismernek - felfedezéséhez egy példát is csatolt, hogy felhívja a figyelmet a veszély komolyságára. "A weboldalon mindössze két piros vonal, valamint egy kép található. Ha megragadjuk a képet, és a két vonal közé húzzuk, máris bemásoltuk a kártevőt az indítópultba. A program a rendszer következő újraindításakor lép működésbe" - áll a példához mellékelt szövegben.
A Secunia szerint az eljárás további finomításával akár az is lehetséges, hogy egyetlen kattintással elvégezzük a fenti példát. A vállalat rendkívül súlyosnak minősítette a sebezhetőséget, és a hibát a második legveszélyesebb kategóriába sorolta. A Microsoft szerint ugyanakkor a hiba nem jelent súlyos fenyegetést a felhasználókra nézve, hiszen a sikeres behatoláshoz mindenképpen szükséges, hogy meglátogassuk a támadók által módosított weboldalt, és végrehajtsuk a szükséges lépéseket. "A sebezhetőség kihasználásához feltétlenül szükséges a felhasználó együttműködése, így a hiba nem nevezhető kritikusnak, és egy ilyen támadás nem jelent súlyos fenyegetést" - jelentette ki a szoftveróriás szóvivője, de hozzátette, hogy a cég szakemberei komoly vizsgálatnak veszik alá a felfedezést.
A hiba felfedezője a sebezhetőség ellenére is úgy véli, hogy a második javítócsomag biztonságosabbá teszi az operációs rendszert, és telepítését mindenki számára javasolja. "A javítás egész tűrhetően lezárja a rendszert, és megvédi azt az eddig felbukkant támadók ellen. Minden bizonnyal a jövőben is újabb hibákra derül fény, de a helyzet alapvetően megváltozott a tavalyi állapotokhoz képest" - jelentette ki "http-equiv".