Internet Explorer patch, idő előtt

Nemrég adtunk hírt arról, hogy egy korábban felfedezett és javítatlan biztonsági rést, mely a Microsoft böngészőjét fenyegeti, már kihasználnak az Interneten – egy felnőtt tartalmakat szolgáltató oldal üzemeltetője igyekszik a javára fordítani a sebezhetőséget. Időközben már terjednek olyan e-mailek is, amelyek szintén erre a sérülékenységre alapozottan próbálnak meg bejutni a felhasználó rendszerébe. Minderről a vgx.dll állomány tehet – ez az egyik (sebezhető) eleme a Vector Markup Language dokumentumok operációs rendszer szinten való támogatásának. A VML-t egyébként magas minőségű vektorgrafikák esetén alkalmazzák.

A Microsoft beígérte a javítást, azonban erre a patch-ciklus következő állomásáig, azaz október 10-ig várni kell, legalábbis ez volt a hivatalos álláspont még a hét első napján is. Lehetséges azonban, hogy mégiscsak hamarabb kerül ki a frissítés, legalábbis Redmond közölte a nyilvánossággal, hogy folyamatosan zajlik a leendő patch készítése és tesztelése. Amennyiben ezzel még október 10-e előtt végeznek, közre fogják adni, hangzott el az ígéret.

Legyen bárhogy is, sokaknak azonnal kell valamilyen megoldás. Nem mindenki tilthatja le az ActiveX vezérlőket, vagy térhet át (akár ideiglenesen is) más böngészőre – nos, nekik készítette el a múlt hét végén a Zeroday Emergency Response Team, röviden ZERT azt a nem hivatalos patch-et, mely befoltozza az Internet Explorer biztonsági rését. Tegnap csatlakozott hozzájuk a Patchlink nevű cég is, mely szintén létrehozott egy foltozást a böngészőt használók számára.

Ezek természetesen nem tekinthetők hivatalos javításnak, a Microsoft ezért felhívja mindenki figyelmét arra, hogy nem javasolja a telepítést. Idén egyébként ez már a harmadik ilyen eset: januárban a Windows Meta File képekkel, márciusban egy régebbi Internet Explorer hibával kapcsolatban adtak ki független fejlesztők javítást Redmond szoftvereihez.

Patch kell!

A Verisign-féle Idefense jelentése szerint már legalább egy olyan eset ismertté vált, amikor betörtek egy webhostolással foglalkozó vállalathoz, és durván félezer domaint irányítottak át egy olyan site-ra, amely kihasználja a redmondi böngésző hibáját. Ennek hatása pedig kvázi védhetetlen az internetezők számára – még ha a korábban megismert, biztonságosnak tartott site URL-jét valaki be is gépeli a böngészőbe, akkor is a veszélyes webhelyre juthat.