Kritična nerednevna pogreška otvara rupe u IE 6 i 7

Novootkrivena prijetnja koja još nema zakrpu može dopustiti napad na web-baziranu internetsku verziju preglednika Internet Explorer 6 i 7, prema sigurnosnim tvrtkama.

I Symantec i Vupen Security objavili su obavijesti o bugu, što uključuje način na koji IE obrađuje kaskadne stilske listove ili CSS. Prema postovima, pregledavanje web stranice s ugrađenim kodom napada izazvalo bi napad. Web mjesto može biti posebno stvorena zlonamjerna web-lokacija ili ona koja je oteta i ima umetnuti kôd napada.

Prema Vupenovom postu, propusta utječe i na IE 6 i 7 na potpuno ažuriranom XP SP3 računalu i može omogućiti pokretanje bilo koju naredbu na ranjivom sustavu, kao što je instalacija zlonamjernog softvera. Još ne postoje izvještaji o aktivnim napadima, no kôd za iskorištavanje javno je dostupan.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]

Symantecov post kaže da njeni testovi potvrđuju objavljena djela ona "pokazuje znakove slabe pouzdanosti", tj. ne radi uvijek. Dodatni e-mail od Symantec kaže da je pogođena i Vista, ali Microsoft još nije potvrdio ranjivost.

Zero-dana koji utječu na IE obično su glavne prijetnje pa će napadači vjerojatno početi skrivati ​​napade koji ciljaju ovu manu kompromitiranim web stranicama, te izbacivanje e-mailova i komentara na mreži s linkovima na web stranice koje sadrže napade.

Prema Vupenu, onemogućavanje Active Scriptinga na Internet i lokalnim intranetskim sigurnosnim zonama blokirat će napade protiv ove mane, vjerojatno blokirati i funkcionalnost web stranica. Trenutni izvještaji ne navode IE 8 kao ranjiv, ali Symantec upozorava da "postoje mogućnosti koje mogu utjecati i na druge inačice IE i Windows".

Ažuriranje (13:55) : Microsoft je potvrdio da ranjivost utječe na IE 6 i IE 7, ali ne i na IE 8. Tvrtka kaže da trenutačno nije svjesna postojećih napada na nedostatak i može odlučiti objaviti zakrpu izvan benda nakon završetka istrage.