Patch dla Internet Explorera już dziś

Microsoft wyda w czwartek, 21 stycznia, biuletyn bezpieczeństwa o oznaczeniu MS10-002, zawierający łatę dla przeglądarki Internet Explorer. Aktualizacja ma wyeliminować z programu lukę, która mogła zostać wykorzystana przez cyber-włamywaczy w grudniowych atakach na Google oraz usuwać kilka innych błędów.

Luka w Internet Explorerze, o której tyle się mówi w ostatnich dniach, polega na tym, że jeśli na danej stronie zaszyty jest szkodliwy exploit, a użytkownik odwiedzi taką witrynę korzystając z przeglądarki IE 6 lub 7, może on nieświadomie uruchomić kod pozwalający na włamanie do komputera.

Stosowna łatka dla przeglądarki zostanie wydana dziś wieczorem czasu polskiego. W blogu Microsoft Security Response Center znalazło się zapewnienie, że po zainstalowaniu aktualizacji użytkownicy IE znajdą się pod ochroną przed znanymi typami ataków. Należy jednak zaopatrzyć się w łatkę tak szybko jak to tylko możliwe - w wypadku osób, które korzystają z aktualizacji automatycznych, patch zostanie pobrany natychmiast po udostępnieniu.

Microsoft zaktualizował również wydany w ubiegłym tygodniu dokument, w którym potwierdzał istnienie luki typu zero-day w przeglądarce i fakt użycia jej przez crackerów w atakach na Google. Koncern w rozszerzonym biuletynie ustosunkował się do tez niektórych specjalistów ds. bezpieczeństwa, twierdzących, że Internet Explorer w wersji 7 i 8 również jest podatny na atak.

Producent twierdził dotychczas, że możliwe jest skuteczne przeprowadzenie ataku z wykorzystaniem luki w IE 6, a najnowszą wersję programu przedstawiał jako niewrażliwą na zagrożenie.

Microsoft odnosi się do raportu dotyczący nowego exploitu dla systemu Data Execution Prevention (funkcja blokowania prób uruchomienia złośliwego kodu). "Przeanalizowaliśmy exploit typu proof-of-concept i odkryliśmy, że system Windows Vista i nowsze wersje Windows oferują skuteczniejszą ochronę w blokowaniu exploita dzięki mechanizmowi Address Space Layout Randomization" - czytamy w biuletynie.

W Windows XP, gdzie nie ma ASLR, ataki obchodzące system DEP mają większe szanse powodzenia, jednak - jak podkreśla Microsoft, exploitów obchodzących zabezpieczenia DEP nie wykryto jeszcze publicznie.