Hibajavító csomag Internet Explorerhez – érdemes telepíteni

Hat újonnan felfedezett hibát javít ki a kumulatív patch. Az első rögtön egy puffertúlcsordulásos hiányosság, amely akkor jelentkezik, amikor az Internet Explorer megnyit egy PNG grafikus állományt. A böngésző ugyanis nem megfelelően ellenőrzi a kép paramétereit – ettől lefagyhat a browser (szerencsére ennek a hibának ennél nagyobb hatása nincs).

A következő probléma a kódolt karaktereket tartalmazó URL-ek kezeléséből adódik. Ennek az exploitnak a kihasználásával ugyanis egy rosszindulatúan megszerkesztett webcímmel átirányítható a felhasználó egy másodlagos website-ra. A behatoló számára így hozzáférhetővé válnak azon információk, amelyeket a felhasználó osztott meg a második website-tal.

Hasonlóan az első hibához, a harmadik is egy nem megfelelően zajló ellenőrzésből adódik: az Internet Explorer az OBJECT tag által meghívott komponens kezelése okoz problémát. Ennek révén a behatoló képes hozzáférni a Temporary Internet Files könyvtárhoz. Ugyan módosítani itt nem tud semmit, de fontos információkat (felhasználónév, cookie-k tartalma stb.)szerezhet meg.

A következő három biztonsági rés révén egy website készítője képes elolvasni (megváltoztatni nem!) a felhasználó rendszerében található file-okat. A rosszindulatú kódot tartalmazó weblapokat ugyanis nem megfelelően ellenőrzi le az Internet Explorer, és ennek következtében válhat nyitottá a rendszer.

Nem csak hibajavításokat tartalmaz a mostani kumulatív patch, hanem néhány fejlesztést is a cross domain verificationnal kapcsolatban – ez a tendencia már az IE SP1 kapcsán elkezdődött.