Internet Explorer hiba: elszabadulóban a pokol

A múlt héten bukkantak rá egy új hibára az Internet Explorerben. A bejelentések szerint e-mailben, csatolmány formájában, és a Weben, ártalmas weblap képében is károkat okozhat a sérülékenység. A támadó távolról akár az egész rendszer felett átveheti az irányítást – adatokat lophat vagy módosíthat, de arra is „ráveheti” a PC-t, hogy zombiként más, Internetre csatlakoztatott komputereket támadjon.

Korábban írtuk, hogy a Microsoft közlése szerint az úgynevezett „proof of concept” kód, azaz a sebezhetőség kihasználását demonstráló, de széleskörűen kárt még nem okozó forrás már a rendelkezésükre áll; ám egyelőre arról nem kaptak tájékoztatást, hogy valaki a biztonsági résnek már áldozatául esett volna. Mindez azonban már a múlté: több, IT-biztonsággal foglalkozó cég is arról számolt be, hogy felbukkantak az első támadási gócpontok az Interneten. A McAfee például már ráakadt olyan weblapra, ami ezt a hibát kiaknázni képes, ártalmas kódot tartalmazott, ezért frissítették is biztonsági szoftverüket. A Sunbelt Software és a Websense szintén hasonló eseményekről volt kénytelen jelentéseket tenni.

Védelemben jelenleg csak azok a felhasználók vannak, akik a böngésző következő generációs változatának, a hetes Internet Explorernek már beszerezték a Beta 2 Preview kiadását (ez letölthető Download adatbázisunkból is). Redmond tájékoztatása értelmében ez utóbbi szoftver, melyet március 20-án adtak ki a fejlesztők, már nem rendelkezik az úgynevezett createTextRange sérülékenységgel.

Amíg azonban megérkezik a szükséges frissítés, érdemes a nem megbízható oldalak böngészését szüneteltetni, ajánlotta a Microsoft az internetezőknek. Ha a szokásos patch-elési ciklusban férhetünk csak ehhez hozzá, akkor április 11-ig várni kell; ez pedig még több mint két hét. Nem kizárt azonban, hogy – mivel a redmondi szoftverfejlesztők maximális tempóval dolgoznak a javítás elkészítésén – külön patch is megjelenhet, a menetrendszerű időpontnál (jóval) hamarabb. Addig azzal javíthatjuk a helyzetünket, ha kikapcsoljuk az Active Scripting funkciót – vagy alternatív böngészőt használunk.