„Védhetetlen” hiba az Internet Explorerben

Ahogy szinte minden hónapban, úgy most decemberben is kiadta a Microsoft a korábbi patch-megjelenés óta eltelt idő alatt elkészült javításait – tegnap(előtt), vagyis a hónap második keddjén (bővebben itt). Összesen 28 biztonsági résre nyújtott ezzel védelmet, ámde egy olyanra nem, ami alig pár órával a frissítések elérhetővé válása után került ki a Világhálóra.

A SANS Internet Storm Center jelentése szerint szerdán már a „vadonban”, azaz az Interneten látták a sérülékenység leírását. Eszerint megfelelő ismeretek birtokában létrehozható egy olyan XML tag, amely hat másodperces várakozás után – amíg megpróbálja becsapni az antivírus motorokat – összeomlást idéz elő a microsoftos böngészőben. Amikor az Internet Explorer újraindul, akkor a gépre bejutott ártalmas kód is futtatásra kerül. Mindez akkor jár sikerrel, ha a felhasználó Windows XP-t vagy Windows Server 2003-at használ, valamint az IE hetedik generációjával böngészi az Internetet.

Az esetről beszámoló Bojan Zdrnja szerint ugyan aktívan még nem használják ki a sebezhetőséget, de mivel a leírás elérhető, csak idő kérdése, hogy mikor kerül erre a sor. A szakember szerint nem hetekről, hanem napokról, órákról van csupán szó. Zdrnja ezért azt javasolja minden IE-t futtató felhasználónak, hogy térjenek át más böngészőre.

A Microsoft jelenleg vizsgálja az esetet – ha nagyon súlyosnak bizonyul, akkor nem kizárt, hogy egy olyan, menetrenden kívüli frissítést ad majd ki hozzá, mint amilyet október végén kaptunk.