Számolja még valaki? Újabb hiba az IE-ben

Az elmúlt egy-két hónap nem igazán alakult jól, ami az Internet Explorer biztonságát illeti: sorra jelentek meg az új sebezhetőségek, amelyek a szoftverben lapultak (és jelentős részük mindmáig ott lapul). Habár a Microsoftot rendszeresen tájékoztatták a hibát felfedező kutatók, IT-biztonsággal foglalkozó cégek, ám a javítások mégsem akarnak ömleni. Elég csak a szeptemberi „patch-day”-re gondolni: a redmondi szoftverfejlesztő a kiadás előtt egy nappal közölte, hogy még azt az egy javítást sem teszi közzé, amit megjelentetni tervezett, mivel probléma merült fel a frissítés minőségével kapcsolatban.

Mindez azonban nem jelentette azt, hogy ne érkeznének újabb hibajelentések. A minap például egy olyan biztonsági résről tájékoztatták a szoftverfejlesztő vállalatot, amely a böngészőbe integrált Javascript révén okozhat fejtörést. Amit Klein, IT-biztonsággal foglalkozó szakértő arról számolt be, hogy az XmlHttpRequest komponens használata esetén az Internet Explorer nem érvényesít néhány adatmezőt, amely egy PC-től érkezik, ez pedig komoly problémát jelent(het). A sérülékenységet egy speciális feltételeknek megfelelően létrehozott kóddal ki lehet aknázni: például a támadó egy valódinak tűnő website-ot hamisíthat, majd amikor a célpont személy megadja az adatait, azt le lehet „hallgatni”.

Sajnos ez ellen a sebezhetőség ellen egyelőre semmilyen feltelepíthető védelem nem létezik: még a második javítócsomaggal rendelkező Windows XP-k is védtelenek egy ilyen támadással szemben. A felhasználók mégsem teljesen tehetetlenek: a dán, IT-biztonsággal foglalkozó cég szerint az Internet Explorer biztonsági szintjének magasra való emelésével kivédhetők az ilyen támadási kísérletek. A közismert Secunia tájékoztatója szerint egyébként „csak” mérsékelten kritikus besorolású a biztonsági rés.

A Microsoft jelenleg vizsgálja a sérülékenységről szóló jelentést, közölte a cég egyik szóvivője, aki azt is bejelentette, hogy (még) nem kaptak jelentést arról, hogy valamely internetező a fentiekben ismertetett támadásnak esett volna áldozatul.