Útok na Internet Explorer na sebe nenechal dlouho čekat

Včera jsme vás na Computerworldu informovali o pomyslném závodě útočníků a Microsoftu, dnes sice o vítězi rozhodnuto ještě není, průběžné výsledky již ale máme.


¨Prvotní útok na tuto chybu využíval k napadení IE techniku „head-spray“, nebyl ale spolehlivý. Vývojáři open-source penetračních (penetrace – průnik)nástrojů Metasploit včera zveřejnili další kód, který se v Internet Exploreru zaměřuje na stejnou chybu, spolehlivost však také není stoprocentní. Je však vyšší, než u kódu prvního. Tento nový kód pak přistupuje k trhlině v IE i pomocí odlišné techniky, propagované Alexandrem Sotirovovem  a Marcem Dowdem.

Na chybu se snaží kód od Metasploit vyzrát hned dvěma způsoby, nicméně jedním ze způsobů je zmíněná neefektivní metoda „heap-spray“ a druhý způsob je prý údajně také zatím částečně problematický. „Bug je vlastně sám o sobě nespolehlivý,“ oznámil na svém Twitteru HD Moore z Metasploit.

Microsoft také ve středu ráno oznámil, že zatím neví o žádném provedeném útoku, který by této chyby využíval a ovlivnil tak jeho zákazníky. Zatím tedy uživatelům Internet Exploreru 6 a 7 nehrozí žádné velké nebezpečí, v případě zveřejnění spolehlivě fungujícího kódu by však mohlo dojít k napadení mnoha počítačů – verzi Exploreru 6 a 7 využívá totiž přibližně 40 % uživatelů internetu.

I proto Microsoft okamžitě zveřejnil bezpečnostní doporučení týkající se této chyby. Uživatelům je doporučeno buď vypnout javascript, či okamžitě upgradovat na verzi 8, která chybu neobsahuje.  Obě tato doporučení se však setkala s negativním ohlasem u odborníků, podle kterých například ve většině firem není možné zajistit ani jedno.

Záplata samotného problému pak na sebe, podle všech indicií, nechá čekat více jak týden, což je v internetové bezpečnosti velmi dlouhá doba. Jak se zdá, útočníci nikdy nespí a pokud jim k novému kódu stačily přibližně tři dny (tedy čas mezi první zprávou o chybě v IE a dnešním článkem), co bude následovat v příštích 14 dnech?











Komentáře