V bezpečnostní zprávě zveřejněné v pátek Microsoft uznal, že zranitelnost Windows protokolu MHTML (MIME HTML) je možné zneužít k spouštění škodlivých skriptů v internetovém prohlížeči Internet Explorer. V podstatě jde o XSS (cross-site scripting) zranitelnost, která útočníkům umožňuje vložit škodlivý skript do kódu webové stránky a převzít kontrolu nad aktuální session. „Například se může stát, že útočník bude moci posílat e-maily z vašeho účtu,“ upozorňuje Andrew Storms, ředitel bezpečnostních operací v nCircle Security.
O chybě byla společnost poprvé informována minulý týden, kdy se na čínských stránkách WooYun.org objevil tzv. proof-of-concept (PoC) kód. MHTML je protokol webových stránek, který kombinuje zdroje několika různých formátů – obrázky, Java aplety, Flash animace a podobné – v jediném souboru. Nativní podporu pro tento protokol nabízejí jen prohlížeče Internet Explorer a Opera, zatímco v Google Chrome a Safari od Applu se s ním vůbec nepočítá. Uživatelé Firefoxu si pak mohou stáhnout zvláštní doplněk.
Pokračování článku spolu s tipem, jak se před vydáním opravy této zranitelnosti ubránit, naleznete na sesterském magazínu Computerworld:
PŘEDPLATNÉ
ČLÁNKY DO MAILU