Neispravan Microsoft Flaw ostavlja IE6 na rizik

Ranjivost još uvijek nepopunjenog Microsoftovog softvera predstavlja ozbiljnu prijetnju korisnicima programa Internet Explorer 6 od onih na sljedećoj verziji preglednika, prijetio je Symantec prodavaču sigurnosti.

Propust u softverskoj bazi podataka programa Microsoft Access je došao na vidjelo baš kao što je Microsoft 8. srpnja izdao svoje zakrpe za mjesec. Problem je unutar ActiveX kontrole Snapshot Viewera, koji omogućuje da netko vidi izvješće o pristupu bez pokretanja softvera.

Napadači aktivno iskorištavaju ovu ranjivost stvaranjem web stranica ili sjeckanje postojećih web stranica za domaćin napada. Hackeri privlače ljude na stranice putem neželjene ili neposredne poruke.

Internet Explorer 7 će potaknuti korisnike prije preuzimanja određene ActiveX kontrole po prvi put. Međutim, Internet Explorer 6 će automatski preuzeti kontrolu jer je digitalno potpisan od strane Microsofta, navodi Symantec u svojoj priopćenju.

Nakon što je preuzeta ActiveX kontrola, mana može dopustiti napadaču da preuzme računalo.

Symantec savjetuje administratori postaviti tri "ubiti bitova" za ActiveX kontrolu, Microsoftov put za sprječavanje pokretanja ActiveX kontrole u programu Internet Explorer.

Microsoft do sada nije rekao kada namjerava objaviti popravak. Prošlog mjeseca Symantec je rekao da su crimeware autori uključili i eksploataciju za ranjivost preglednika Snapshot u Neosploitu, alat koji omogućuje hakerima da izvode šaku iskorištavanja na računalu kako bi vidjeli jesu li to je nepopravljiva ranjivost.

Međutim, prošli tjedan činilo se da su kibernetičari koji su stvorili Neosploit prestali prodavati, možda zbog toga što je cijena - u rasponu od 3.000 USD - bila previsoka i potražnja je pala.