Microsoft sám označil zranitelnost nejen za kritickou, ale v rámci exploitability indexu jí dal známku 1, což odpovídá přesvědčení, že funkční exploit se pravděpodobně objeví do měsíce. Nejspíš ale mnohem dříve.
Viz také: Opravy Microsoftu: hrozí útok přes vložené fonty
V ohrožení jsou zejména uživatelé Internet Exploreru (stačí navštívit podvodně upravený web), ale problém lze zneužít i pomocí dokumentu ve formátech Word a PowerPoint – i zde je totiž možné použít příslušné fonty.
Analytici oslovení americkým Computerworldem uvádějí, že útočníci si těžko mohou přát něco lepšího – chyba totiž umožňuje ovládnout počítač útokem typu drive-by download, tedy jen po zobrazení stránky. Uživatel není nijak varován a instalaci malwaru neprovází žádný další dialog. K tomu alespoň dochází ve Windows XP, ve Vista sice získá útočník přístup k počítači také, ale přece jen zde nemůže instalovat, co chce. Zranitelná jsou i Windows 7 RC – o důvod víc přejít na finální verzi.
Podvodný soubor EOT může být na webu umístěn v komprimované a navíc zašifrované podobě, pro antiviry je tedy de facto neviditelný. Zneužití nevyžaduje ani JavaScript a probíhá na úrovni jádra Windows, takže nepomůže ani sandbox, který ve Windows Vista odděluje prohlížeč od zbytku systému. Přesto lze problém vyřešit i na úrovni prohlížeče (Nástroje-Možnosti-Zabezpečení-Vlastní úroveň-Stažení-Stažení písma-Zakázat).
PŘEDPLATNÉ
ČLÁNKY DO MAILU