Znów błędy w Explorerze

Istniejące już exploity pokazują, że możliwe jest pobranie kodu wykonywalnego z innej witryny, a następnie zapisanie go i uruchomienie lokalnie. W praktyce oznacza to możliwość zaatakowania złośliwym kodem po kliknięciu odnośnika lub otwarciu listu elektronicznego, mimo posiadania w pełni zaktualizowanego Interneta Explorera.

Jedna z luk wykorzystywanych przez exploit znana jest od sierpnia 2003 i pozwala na dowolne operacje na plikach z poziomu HTML. Znajduje się w ona w kodzie odpowiadającym za obsługę obiektów adodb.stream i została uznana przez Microsoft za mało istotną, ponieważ pozwala na nadużycia jedynie w przypadku pobrania kodu ze strefy lokalnej. Problem w tym, że pozostałe, wcześniej nieznane luki pozwalają na pobranie kodu z zewnątrz, zapisanie go i wyświetlenie już z zasobów lokalnych.

Luki w Internet Explorerze są tym bardziej niebezpieczne, że przeglądarka jest także odpowiedzialna za wyświetlanie kodu HTML w niektórych programach pocztowych (w tym Outlook i Outlook Express) oraz innych zewnętrznych aplikacjach, nie tylko Microsoftu.

W tej chwili nie istnieją łaty na wspomniane luki. Częściowym zabezpieczeniem (kosztem funkcjonalności) może być zablokowanie wykonywania skryptów - w szczególności JavaScript, JScript - oraz ActiveX.

Warto jednak zastanowić się nad wypróbowaniem jednej z alternatywnych przeglądarek, np. Opery, czy Mozilli.

(źródło: Web Express: http://news.di.com.pl. Opr: kg)