Váratlanul javítást adott ki a Microsoft

A Microsoft megtörte azt a tavaly év végén bejelentett folyamatot, mely szerint minden hónapban csak egyszer, egy meghatározott időpontban ad ki frissítéseket és javításokat az időközben erre rászoruló alkalmazások (és felhasználók) számára. Ezt egyébként sejteni lehetett, hiszen még január végén bejelentették Redmondban, hogy az Internet Explorerben felfedezett hibák miatt időszerűvé vált egy patch létrehozása (ám akkor még kérdéses volt, hogy ezzel meddig várnak). Az egyébként kritikus besorolást kapott javítás (832894) három sérülékenységre jelent gyógyírt.

Az első a böngésző keresztdomain (cross-domain) biztonsági modelljét érinti – ez a browserfunkció felel azért, hogy a különböző ablakban megnyitott domainek ne tudjanak egymással információkat cserélni. Nos, a sebezhetőség révén pontosan erre nyílik lehetőség: egy rosszindulatú támadónak csak egy olyan weboldal létrehozására van szüksége, mellyel kihasználható a sérülékenység, illetve arra kell rávennie a felhasználót, hogy erre az oldalra ellátogasson. Ugyanez kihasználható (HTML-es) e-mailen keresztül is. Ha a behatoló sikerrel járt, akkor nemcsak más oldalakon levő információkhoz férhet hozzá, hanem a rendszer állományaihoz is, s akár kódot is futtathat az áldozatul esett rendszeren (ez utóbbit a bejelentkezett felhasználó privilégiumaival teheti meg).

A második sebezhetőség az Internet Explorer dinamikus HTML eseményei kapcsán jelentkezik: a drag and drop művelet bizonyult ártó céllal kihasználhatónak. Ennek révén egy állomány lementhető úgy, hogy arról semmi nem tájékoztatja a felhasználót, még egy dialógusablak sem. Ennek kihasználása megegyezik a fenti sérülékenységgel, ám veszélyességét némileg csökkenti, hogy a támadó a rendszerbe ilyen módon bejuttatott állományt nem tudja futtatni (legalábbis ennek a hibának a kihasználásával).

A harmadik problémát a dán Secunia fedezte fel: még tavaly decemberben egy olyan problémára világított rá az IT-biztonsággal foglalkozó vállalat, melyet kihasználva elérhetővé vált, hogy az internetezőt becsaphassák: a böngészőben ugyanis megjeleníthető (volt) egy webcím, mely tulajdonképpen nem oda mutat, ahova kellene. A felhasználó pedig – mivel megbízik a képernyőn látott információban – ezáltal olyan weboldalra kerülhet, amelyen például rosszindulatú scriptek találhatók; így a támadó irányítása alá vonhatta a gyanútlan internetező rendszerét.

Érintett alkalmazások

Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6.0