IE - znów krytyczny błąd

Firma Secunia po raz kolejny poinformowała o wykryciu 'krytycznego' błędu w zabezpieczeniach przeglądarki Internet Explorer. 'Dziura' umożliwia umieszczenie w dokumencie HTML (np. stronie WWW) kodu, który spowoduje wystąpienie osławionego błędu przepełnienia bufora.

Z informacji udostępnionych przez Secunia wynika, że na atak z wykorzystaniem tego mechanizmu podatny jest w pełni uaktualniony Internet Explorer - wyjątkiem jest sytuacja, w której przeglądarka zainstalowana jest w systemie Windows XP SP2.

Problem jest spowodowany nieprawidłową obsługą znacznika <IFRAME> - pływającej ramki. Zastosowanie w nim bardzo długich wartości atrybutów SRC i NAME powoduje błąd przepełnienia bufora. Ten z kolei umożliwia uruchomienie na zaatakowanej maszynie dowolnego kodu.

Przedstawiciele Secunia zalecają użytkownikom Internet Explorera korzystającym z Windows XP uaktualnienie systemu o Service Pack 2, zaś użytkownikom korzystającym z IE w innych systemach - zainstalowanie innej przeglądarki.

Według informacji CERT Polska, w Sieci pojawił się już exploit na lukę. Obecnie nie działa on na Windows XP SP2, jednak eksperci nie wykluczają, że bardziej wyrafinowany exploit może sprawić, że platforma XP SP2 również będzie podatna na atak.

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.