Problémás az új Internet Explorer patch

Az Openwares.org által publikált (első) patch annak nyomán született meg, hogy az Internet Exporerben felfedezett egyes biztonsági hiányosságokat a Microsoft – egyelőre – nem javította ki. A weboldalon azért jelent meg a frissítés, mert annak készítői úgy gondolták, nem várhat tovább a rések befoltozása. A patch azonban puffertúlcsordulási hibákat okozott.

Körülbelül 6500 ember érint az eset, hozzávetőleg ennyien töltötték le az eredeti javítást; annak ellenére, hogy ennek beszerzését semelyik, IT-biztonsággal foglalkozó szakértő sem javasolta. Azonfelül, hogy felmerül a harmadik félben való megbízhatóság kérdése (például annak lehetősége, hogy így gyakorlatilag észrevétlenül spyware-t telepíthetünk a rendszerre), az is óva intő jel volt, hogy a készítők nem rendelkeznek, rendelkeztek az Internet Explorer forráskódjához való hozzáférés jogával.

Magát a sérülékenységet még november végén fedezték fel. Ekkor derült ki, hogy lehetőség van arra: a böngésző által a címsorban kijelzett URL-lel nem megegyező (máshol hostolt) weboldal is megjeleníthető a látható URL alatt. Ennek kihasználásával például hamis bejelentkező oldalakat lehet létrehozni, amiben a felhasználók megbíznak (lévén egy jól megalkotott kezelőfelület-másolat és az ismert URL bárkinek a figyelmét elaltathatja), így szerezvén meg titkos adataikat. Az Openwares első javítása azonban csak a 256 byte-nál rövidebb címek kiszűrésében jeleskedik, egy ennél nagyobb URL megadása puffertúlcsordulást okoz.

Éppen ezért kiadtak egy újabb javítást, melyet az eredeti alapján írtak át, s több tucatszor teszteltek le. Ezt egyébként hétfő reggel óta több mint 2500-an töltötték már le a weblapról. A Microsoft ugyanakkor még mindig nem jelentetett meg javítást a problémára.

Az Operwares által készített patch-ek egyikét sem ajánljuk letöltésre!