V bezpečnostní zprávě zveřejněné v pátek Microsoft uznal, že zranitelnost Windows protokolu MHTML (MIME HTML) je možné zneužít k spouštění škodlivých skriptů v internetovém prohlížeči Internet Explorer. V podstatě jde o XSS (cross-site scripting) zranitelnost, která útočníkům umožňuje vložit škodlivý skript do kódu webové stránky a převzít kontrolu nad aktuální session. „Například se může stát, že útočník bude moci posílat e-maily z vašeho účtu,“ upozorňuje Andrew Storms, ředitel bezpečnostních operací v nCircle Security.
O chybě byla společnost poprvé informována minulý týden, kdy se na čínských stránkách WooYun.org objevil tzv. proof-of-concept (PoC) kód. MHTML je protokol webových stránek, který kombinuje zdroje několika různých formátů – obrázky, Java aplety, Flash animace a podobné – v jediném souboru. Nativní podporu pro tento protokol nabízejí jen prohlížeče Internet Explorer a Opera, zatímco v Google Chrome a Safari od Applu se s ním vůbec nepočítá. Uživatelé Firefoxu si pak mohou stáhnout zvláštní doplněk.
Právě uživatelé IE jsou ohroženi nejvíce, protože zranitelnost se nachází v systémech Windows. Vadný protokol obsahují všechny verze, od Windows XP až po nejnovější Windows 7. Podle expertů není vůbec jasné, kdy by mohl Microsoft vydat opravnou aktualizaci. Kdyby byla zranitelnost pouze v prohlížeči IE, patch by mohl přijít již s dalším updatem Tuesday 8. února. Chyba je však silně zakořeněná ve Windows, takže práce na opravě se nejspíš o něco prodlouží.
Svým uživatelům Microsoft zatím doporučuje využít nástroje Fixit pro vypnutí podpory MHTML. Fixit je volně dostupný na stránkách společnosti.