Négy újabb, extrém kritikus sebezhetőség az Internet Explorerben

Az IT-biztonsággal foglalkozó dán Secunia cég weboldalán kedden közzétette annak a négy sebezhetőségnek a felfedezését, melyeket majdnem egy időben a Microsoft által kiadott javítási hullám elérhetővé válásával találtak meg. Kihasználásukkal a támadó kiszolgáltatottá teheti a célpont rendszert. Nézzük, milyen veszélyek leselkednek ránk, ha Internet Explorert használunk!

Az első egy funkció átirányítása egy másik funkcióhoz, ugyanazon név alatt. Ez a sérülékenység lehetővé teszi egy ártó szándékkal megalkotott website üzemeltetője számára, hogy olyan funkciókhoz is hozzáférést szerezhessen, amikhez normál biztonsági megkötések esetén nem lenne képes. A hiba sikeres kihasználása esetén script futtatható egy másik weboldal biztonsági kontextusában, ami akár oda is vezethet, hogy egy enyhébb biztonsági zóna szerint kerülhet lefuttatásra az adott script.

A következő sebezhetőség szintén a felhasználók megtévesztését szolgálja: olyan műveleteket tesz lehetővé, amikről az internetezők tudomást sem szereznek. A harmadik révén scriptkódot lehet bevinni a Favorites (Kedvencek) Channel linkjeibe, ami így helyi biztonsági zónában futhat le. A negyedik biztonsági rés a Windows.createPopup() funkcióval használható ki, alkalmazásával ártalmas tartalom helyezhető el az ablakok és a dialógus dobozok fölé – sikeres kihasználása esetén a gyanútlan internetező ártó szándékkal megalkotott állományokat nyithat meg vagy egyéb, a rendszerre és az adatokra nézve kártékony műveleteket hajtathat végre.

A Secunia jelentése szerint mind a négy biztonsági rés kihasználható egy minden patch-csel ellátott Internet Explorer 6-on, ami Windows XP SP1 környezetben fut. Az IT-biztonsággal foglalkozó cég jelentése szerint a korábbi Microsoft böngészők is érintettek lehetnek.