Luka w API pozwala na "wstrzyknięcie" złośliwego kodu

Symantec poinformował, iż upubliczniona w zeszły wtorek luka w przeglądarce Internet Explorer 6 i 7 jest już wykorzystywana.

article cover
materiały prasowe

Błąd dotyczy API syntezatora mowy wykorzystywanego przez IE. Specjalnie przygotowane dane mogą wywołać błąd przepełnienia bufora w dwóch kontrolkach ActiveX wymaganych przez wyżej wymienione API. W wyniku tego może dojść do wykonania złośliwego kodu.

Mimo że błąd Internet Explorera 6 działającego pod kontrolą systemu Windows 2000 SP4 i XP SP2 jest znany od prawie dwóch tygodni, do tej pory żadna ze stron internetowych nie starała się go wykorzystać.

Symantec sugeruje, że luka ta pozwala na wprowadzenie do pamięci komputera ofiary kodu, który zainstaluje kolejne złośliwe oprogramowanie. Firma nie jest jednak w stanie określić, jaki stopnień użytkowników odwiedził tak przygotowane strony, szacuje jednak, że obecnie błąd nie stanowi większego zagrożenia.

Masz sugestie, uwagi albo widzisz błąd?
Dołącz do nas