Újabb javítatlan hiba az Internet Explorerben

A Microsoft tegnap jelentette be, hogy az úgynevezett „CreateTextRange” sebezhetőséget egy kumulatív patch révén ki fogja iktatni az Internet Explorerből. Ennek ideje a jövő hét keddi szokásos, ciklikus frissítési nap lesz; ám igen valószínű, hogy még ideiglenesen sem válik biztonságossá az Internet Explorer. Nemrég ugyanis újabb hibáról számoltak be, ami a redmondi alkalmazást érinti.

Az IT-biztonság területén tevékenykedő Secunia csütörtökön közölt részleteket a sérülékenységről. A dán cég bejelentése szerint a hiba révén a felhasználó számára eddig az úgynevezett phishing weboldalak – melyek többsége lemásolja valamely más, ismert site designját – beazonosítását megkönnyítő címsor meghamisítható. Röviden: nem valós webcím is megjelenhet a böngészőben, ezzel pedig elaltatható a felhasználó ébersége, hiszen azt hiheti, hogy az általa eredetileg felkeresni akart site-on tartózkodik.

Ezúttal nem egyedül a Microsoft a ludas: az Internet Explorer akkor hibázik, amikor weboldalakat és Macromedia flash animációkat tölt be, állítja a Secunia. Ilyen esetben ugyanis, a megfelelő ismeretek birtokában elérhető a címsorhamisítás. A hiba kihasználása azonban annyira mégsem triviális, legalábbis ezt mutatja az a tény, hogy a Secunia „mindössze” mérsékelten kritikus (moderate critical) besorolással illette a sérülékenységet. Egyben készített egy olyan weboldalt is, ahol bárki leellenőrizheti, vajon ki van-e téve ennek a veszélynek az általa alkalmazott böngésző (lásd az oldal alján a linket). A próba szerint a lap tökéletesen működik, a cikkíró 6.0-s Internet Explorere pedig védtelennek bizonyult.

Mely változatokat érinti a hiba? A Secunia közlése szerint a minden patch-csel ellátott 6.0-s verziók, illetve a legújabb, hetes Internet Explorerek egyaránt veszélynek vannak kitéve; és a régebbi változatok esetében is felmerül a sebezhetőség gyanúja. A vállalat természetesen tájékoztatta a Microsoftot felfedezéséről, mely utóbbi elismerte, hogy már vizsgálják a dán szervezet közlését. Első áttekintésre azt már meg is állapították, hogy azon felhasználók, akik a böngésző Internet biztonsági beállításait (Internet security settings) magasra állították vagy letiltották az active scripting funkciót, jóval kisebb kockázatnak vannak kitéve.

Az azonban legalábbis kérdéses, hogy vajon javítva lesz-e ez a sebezhetőség a keddi patch-csomagban.