Microsoft: IE5, IE6 - luka w zabezpieczeniach

Niezałatana luka znaleziona w Internet Explorerze 7 ma również wpływ na starsze wersje przeglądarki, a także najnowszą wersję beta, ostrzegł Microsoft w czwartek.

Nowe informacje poszerzają pulę użytkowników którzy mogą być narażeni na ryzyko nieumyślnego zainfekowania złośliwym oprogramowaniem zainstalowanym na ich komputerze, ponieważ firma Microsoft nie ma jeszcze gotowej łatki.

W opublikowanym w czwartek poradniku Microsoft potwierdził, że IE 5.01 z Service Pack 4, IE6 z i bez dodatku Service Pack 1 i IE8 Beta 2 we wszystkich wersjach systemu operacyjnego Windows są potencjalnie zagrożone.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie ze swojego komputera z systemem Windows]

Również narażeni są użytkownicy uruchamiający IE7 na Windo ws XP Service Pack 2 i 3, Windows Server 2003 z dodatkiem Service Pack 1 i 2, Windows Vista z dodatkiem Service Pack 1 lub bez i Windows Server 2008.

Firma wyjaśniła problem z przeglądarką po konfliktowych raportach od firm zajmujących się bezpieczeństwem komputerów.

"Luka istnieje jako niepoprawny odnośnik do wskaźnika w funkcji wiązania danych programu Internet Explorer", zgodnie z zaleceniami. "Po włączeniu powiązania danych (który jest stanem domyślnym) możliwe jest zwolnienie obiektu w określonych warunkach bez aktualizacji długości tablicy, co pozostawia potencjał dostępu do obszaru pamięci usuniętego obiektu. Może to spowodować zamknięcie programu Internet Explorer nieoczekiwanie, w stanie, który może być wykorzystany. "

Microsoft powiedział, że widział tylko ograniczone ataki ukierunkowane na lukę w IE7. Analitycy bezpieczeństwa twierdzą jednak, że coraz więcej stron internetowych jest budowanych, które mogą wykorzystać tę lukę.

Problem jest szczególnie poważny, ponieważ w niektórych przypadkach użytkownicy muszą jedynie przeglądać witrynę w celu uzyskania konia trojańskiego program automatycznie pobrany na ich komputer. Po przejściu na komputer, haker może skierować program do pobrania innego złego oprogramowania i wykonać działania, takie jak wysyłanie spamu i kradzież danych.

Microsoft przedstawił w tym poradniku kilka sposobów, dzięki którym ludzie mogą zmniejszyć szansę na ofiarę, w zależności od tego, wersja przeglądarki i systemu operacyjnego, z którego korzystają. Jednak rozwiązaniem opartym na pewności jest teraz użycie innej przeglądarki, dopóki Microsoft jej nie naprawi.

Microsoft regularnie wydaje łatki w drugi wtorek miesiąca, ale wiadomo, że wypuszcza coś, co nazywa się łatą pozapasmową, jeśli zagrożenie jest uważane za wystarczająco poważne. Microsoft nie mówi, czy to zrobi i zwykle po prostu wypuści poprawkę.

Następny planowany dzień patcha to 13 stycznia, co oznacza, że ​​atakujący będą mieli co najmniej miesiąc, aby zainfekować jak najwięcej komputerów, jeśli Microsoft planuje w dniu dzisiejszym utwórz poprawkę na lukę.

Informacje o luce pojawiły się po raz pierwszy w regionie Chin. Chiński urząd bezpieczeństwa, nazwany familiarsec, powiedział, że usłyszał plotki o kodzie krążącym na podziemnych rynkach przestępczych na początku tego roku. Uważa się, że kod exploita został sprzedany w jednym punkcie za 15 000 USD.

Luki w oprogramowaniu są bardzo cenne dla cyberprzestępców, ponieważ mogą one posłużyć do kradzieży danych kart kredytowych i innych danych finansowych.

W ciągu ostatnich kilku lat lat, firma Microsoft zachwala się pod względem poprawy bezpieczeństwa komputerowego, ale wciąż jest obciążona nowymi odkryciami błędów w starszym oprogramowaniu.