Aktualności: Poważny błąd w IE - nie ma łaty, jest exploit

W środę FrSIRT poinformował o wykryciu poważnego błędu, umożliwiającego spowodowanie błędu w przeglądarce, a w najgorszym razie przejęcie całkowitej kontroli nad systemem. Wczoraj wieczorem pojawił się w sieci kod wykorzystujący tę lukę. Problem dotyczy obsługi jednego z obiektów ActiveX ("DirectAnimation.PathControl").

Do czasu opublikowania odpowiedniej poprawki przez Microsoft zaleca się wyłączenie obsługi aktywnych skryptów z poziomu menu:

Narzędzia -> Opcje Internetowe -> Zabezpieczenia -> Internet ->Poziom niestandardowy -> Obsługa skryptów, Wykonywanie aktywnych skryptów -> Wyłącz

Błąd został potwierdzony w Internet Explorerze 6 na wszystkich systemach Windows oraz 5.01 w systemie Windows 2000 SP4. Nie ma informacji o występowaniu błędu w Internet Explorerze w wersji 7 RC 1.

Warto zwrócić uwagę, że błąd został ujawniony zaledwie jeden dzień po opublikowaniu przez Microsoft comiesięcznych poprawek. Być może jest to nowe zjawisko, poprzez które atakujący starają się wykorzystać cykl publikacji poprawek Microsoft. Mogą w ten sposób zyskać cały miesiąc, w czasie którego niemal wszyscy użytkownicy Windows pozostają zagrożeni.

FrSIRT: Microsoft Internet Explorer "daxctle.ocx" KeyFrame Memory Corruption Vulnerability - http://www.frsirt.com/english/advisories/2006/3593

CNet News.com: Attack code targets new IE hole - http://news.com.com/Attack+code+targets+new+IE+hole/2100-1002_3-6115966.html?part=rss&tag=6115966&subj=news
Podobne informacje:

• Krytyczna luka w Internet Explorerze - Microsoft potwierdza »
• Tymczasowa "łatka" dla IE 6 i 7 »
• Microsoft udostępnił krytyczną poprawkę »
• Gorące łaty od Microsoftu »
• Luki w przeglądarkach na co dzień »