MS bada nową dziurę w IE

Dziura, o której informowaliśmy wczoraj dotyczy praktycznie wszystkich aktualnych wersji Internet Explorera w seriach 6.x i 5.5. Została ogłoszona przez Toma Ferrisa, autora serwisu SecurityProtocols.Com.

Ferris poinformował Microsoft 14 sierpnia i do tej pory nie udostępnił żadnych szczegółów na temat błędu. O tym że dziura naprawdę istnieje można się przekonać oglądając zrzut ekranu z poległym Explorerem przygotowany przez Ferrisa. Brak jest działającej demonstracji zdalnego wykonania kodu z wykorzystaniem nowego błędu, ale według Ferrisa naruszenie struktury pamięci zademonstrowane na zrzucie ekranowym jest równoznaczne z możliwością wykonania kodu.

Dziura jest potencjalnie bardzo niebezpieczna ponieważ błąd leży w kodzie parsującym standardowy HTML. Oznacza to że proste wejście na stronę WWW zawierającą spreparowany kod może spowodować uruchomienie w systemie ofiary złośliwego kodu - na przykład konia trojańskiego. Według Ferrisa, charakterystyka dziury powoduje że nie ma przed nią skutecznej obrony. Nie pomoże na przykład zwiększenie poziomu bezpieczeństwa w Internet Explorerze.

Microsoft potwierdził otrzymanie zgłoszenia od Ferrisa i pracownicy firmy "z zapałem zabrali się do badania problemu" (w oryginale "aggressively investigating"). Firma zapowiedziała że po potwierdzeniu istnienia błędu poprawka zostanie opublikowana w comiesięcznym wydaniu łatek lub - jeśli dziura okaże się szczególnie zjadliwa - w charakterze nadzwyczajnej poprawki dostępnej poza normalnym cyklem wydawniczym.

Na pytanie dlaczego ujawnił dziurę przed pojawieniem się poprawki, Ferris odpowiedział że ten przypadek wymagał wcześniejszego ostrzeżenia użytkowników ponieważ praktycznie jedyną metodą obrony jest zaniechanie używania MSIE do czasu pojawienia się poprawki. Dodał również że jego zdaniem przyjęta przez niego procedura ogłoszenia dziury bez ujawniania szczegółów jest najlepszym możliwym kompromisem pomiędzy interesem producenta a bezpieczeństwem użytkowników.