Fél éve tátong egy biztonsági rés az Internet Explorer 8-ban

A HP Zero Day Initiative tegnap közleményben mutatott be egy javítatlan, nulladik napi hibát, mely az Internet Explorer 8-as verziójában található, és amely lehetővé teszi egy támadó számára, hogy – amennyiben sikerül a felhasználót rávenni az elindítására – tetszőleges, fertőzött weboldalról vagy e-mailből származó kódot futtathasson a célba vett, a sebezhetőséget tartalmazó számítógépen. Vagyis felhasználói közreműködést igényel a sérülékenység kihasználása.

A kutatók a böngészőknél manapság slágernek számító use-after-free típusú hibát (a CMarkup objektumok kezelése során lehet korrumpálni a memóriatartalmat) már tavaly októberben felfedezték, ezt jelezték is a Microsoftnak, ám mivel még mindig nem jelent meg javítás, ezért döntöttek a nyilvánosságra hozatal mellett – Zero Day Initiative belső szabályzatában az szerepel, hogy amennyiben az értesített gyártó 180 nap után sem ad ki javítást, akkor nyilvánosan ismertetik az adott sebezhetőséget.

Hivatalos Microsoft-tanácsadó így természetesen nincs, de a sebezhetőséget felfedező kutatók a sokszor hasznos EMET eszközkészletet ajánlják, amellyel megszüntetni ugyan nem lehet a hibát, de a kockázatok mérséklésére alkalmas.

Hirdetés

Azóta történt

Előzmények