Windows XP obsahují novou kritickou chybu, potvrdil Microsoft

Zástupci Microsoftu existenci zranitelnosti potvrdili ve čtvrtek s tím, že kromě Windows XP se vyskytuje ještě ve Windows Serveru 2003 a může být zneužita k infikování počítače, pokud uživatel navštíví škodlivou webovou stránku nebo se stane obětí e-mailového útoku.

Microsoft ovšem uklidňuje uživatele, že zatím nezaznamenal aktivní útoky, které by exploitovaly tuto nově objevenou a zatím neopravenou zranitelnost. Chyba je v komponentě, která umožňuje zpřístupňovat a stahovat soubory s nápovědou z webu.

Novější operační systémy Windows Vista, Windows 7, Windows Server 2008 a Windows 2008 R2 nejsou útokem zranitelné. Jak je to se staršími Windows 2000 nebylo zveřejněno.

Microsoft plánuje na chybu co nejdříve uvolnit záplatu, ale termín jejího uvolnění není známý. Novou várku pravidelných oprav by měl vydat až 13. července, neboť poslední balík záplat byl distribuován právě tento týden, ale je možné, že nově objevenou zranitelnost opraví kvůli její závažnosti mimo tradiční rozvrh, aby uživatelé nebyli vystaveni celý měsíc riziku. Podobně Microsoft opravil v březnu kritickou chybu v Internet Exploreru, kterou se útočníci po jejím objevení snažili intenzivně zneužívat.

Chyba byla reportována bezpečnostním výzkumníkem Googlu 5. června a oficiálně zveřejněna pak o čtyři dny později, tedy 9. června, informoval Mike Reavey, ředitel MSRC (Microsoft Security Response Center). Zveřejnění detailů o chybě a způsobů, jak jí exploitovat, ovšem vždy přináší i riziko útoků a kyberútočníci se chybu pravděpodobně pokusí co nejdříve zneužít.

Microsoft také v poslední době zahájil strategii neopravování svých starších produktů, které jsou sice ještě ve fázi rozšířené podpory, ale jejichž záplatování by bylo příliš obtížné. Stalo se tak u Windows 2000 a nyní i u kancelářského balíčku Office XP, jak jsem psali ve včerejším článku Microsoft nechá v Office XP neopravené zranitelnosti.