Továbbra is veszélyes az Internet Explorer használata

Jelmer Kuperus holland IT-bizonsági szakértő a Weben közzétette saját kódját, melyről azt állítja, hogy képes betörni vele egy minden patch-csel ellátott Windows rendszerbe. Mindehhez az úgynevezett Download.Ject trójai programot kellett kicsit módosítania. A Microsoft szóvivői elismerték, hogy értesítették őket az új kódról, de tudomásuk szerint még egyetlen Internet Explorer használó sem esett áldozatul a Shell.Application exploitnak.

Amint arról korábban írtunk, a Microsoft IIS egy hibájának kihasználásával az elmúlt hónapban számos webszervert feltörtek, s ott olyan kódot (Download.Ject) helyeztek el, amivel az adott szerverekhez kapcsolódó kliens gépek – amennyiben Internet Explorert használtak böngésző gyanánt – kiszolgáltatottá válhattak. Az eseményt követően maga a Microsoft tanácsolta azt az internetezőknek, hogy böngészőjük biztonsági beállításait állítsák a legmagasabbra. Ezt követően Redmond a múlt hét pénteken – eltérve a szokásos, minden hónap második keddjén érkező javítási menetrendtől – elérhetővé tette az Internet Explorerrel rendelkezők számára, hogy kiiktassák ezt a biztonsági rést.

Ezt a patch-et azonban nem lehet hibajavításnak nevezni, a Microsoft ugyanis (egyelőre) megkerülte a problémát: az ActiveX scriptelő összetevőjében levő biztonsági rést úgy szüntették meg, hogy egyszerűen letiltották az ActiveX bizonyos funkcióját (konkrétan az ADODB.stream komponenst). Stephen Toulouse, a szoftverfejlesztő vállalat biztonsági problémákra reagáló központjának programmenedzsere elmondta, hogy habár ez egy permanens változás, dolgoznak egy kielégítőbb megoldáson.

Erre szükség is van, mivel Kuperus megoldása egy másik ActiveX komponenst támad, így gyakorlatilag ismét az a helyzet áll fent, ami korábban: a Microsoft böngészői védtelenek (a január óta ismert Shell.Application sebezhetőséggel szemben). A holland kutató, bizonyítandó állítását, közzétett egy szemléltető példát weboldalán, ahol bárki kipróbálhatja, hogy böngészője vajon ki van e téve a veszélynek, vagy sem. Kuperus szerint az ő weboldala ártalmatlan, de mások a sérülékenységet rosszindulatú célok megvalósítása érdekében is kihasználhatják.

Redmond újbóli nyilatkozatában ismét azt közölték, hogy kivizsgálják az esetet, s az elkövetkezendő hetekben egy átfogóbb patch-et adnak ki a vállalat webböngészőjéhez. Addig pedig vagy megemeljük böngészőnk védelmi szintjét, vagy lecseréljük egy másik szoftverre – ahogyan az elmúlt hetekben egyre többen teszik ezt.