2009-01-08 00:00:00

Opasna ranjivost u IE 7

Nedugo nakon što je Microsoft  objavio redovito izdanje mjesečnog paketa zakrpi i sigurnosno upozorenje o kritičnoj ranjivosti u komponenti WordPad Text Converter,  sredinom prosinca je objavljeno novo sigurnosno upozorenje.

Sigurnosno upozorenje  odnosi se na kritičnu ranjivost u web pregledniku Internet Explorer 7 na operacijskim sustavima Windows XP SP2 i SP3, Windows Server 2003 SP1 i SP2, Windows Vista i Vista SP1 te Windows Server 2008 - ukratko svim zakrpanim i nezakrpanim inačicama operacijskog sustava Windows. U upozorenju stoji da su Internet Explorer 5 SP4, Internet Explorer 6 SP1 i Internet Explorer 8 beta 2 na svim podržanim Windows operacijskim sustavima također potencijalno ranjivi.

Ranjivost se temelji na propustu u programskom kôdu funkcije kojom web preglednik obrađuje XML kôd. Funkcija nekorektno oslobađa dio memorije čime se napadaču dozvoljava izvršavanje kôda ubačenog putem posebno izrađenog URL-a. Kineski tim sigurnosnih stručnjaka Knownsec priznao je pogrešku kojom je slučajno objavio programski kôd kojim se iskorištava spomenuta ranjivost prije izdavanja same zakrpe, a Microsoft je potvrdio da ima saznanja o ograničenim napadima na preglednik Internet Explorer 7.

Prema upozorenju, jedna od mjera kojom je moguće spriječiti ili barem smanjiti utjecaj napada je uključivanje tzv. zaštićenog načina rada (eng. protected mode) za Internet Explorer inačice 7 i 8. Druge mjere odnose se na općenita upozorenja kao što je ograničavanje privilegija korisnika web preglednika. Poslužiteljske inačice operacijskog sustava Windows imaju uključen tzv. Enhanced Security Mode za web preglednik čime je prijetnja umanjena, ali ne i za stranice koje su označene kao "Trusted". Iskorištavanje ranjivosti putem poruka elektroničke pošte zasad nije primijećeno. Microsoft je obećao izdati zakrpu iako nije rečeno hoće li ista biti uključena u redovito izdanje zakrpa koje stiže početkom ove godine ili će biti izdana mimo redovitog ciklusa.


Javni web CARNeta