Izraelec Aviv Raff údajně objevil v prohlížeči Internet Explorer bezpečnostní chybu, na níž dosud není k dispozici oprava – jedná se tedy o zranitelnost typu zero day.
A. Raff zveřejnil na webu kód, pomocí něhož může útočník ovládnout počítač uživatele Internet Exploreru, technické detaily o chybě však nepopsal. Navíc ani přesně neuvedl, kde na jeho blogu se příslušný kód nachází.
Raff tvrdí, že kontaktoval Microsoft, společnost mu však neodpověděla, a proto se rozhodl chybu zveřejnit. Vyjádření Microsoftu se nepodařilo získat. Raff ovšem kód zveřejnil prakticky vzápětí poté, co se na Microsoft obrátil. Uvedl, že tak postupoval proto, aby přiměl Microsoft k rychlé opravě chyby. Když v minulosti postupoval „standardně“, oprava prý trvala velmi dlouho.
Problém se týká Internet Exploreru 7 i 8. Stačí, aby uživatel navštívil podvodnou stránku a útočník může na jeho počítači spustit libovolný program. V Raffově demonstračním případě se má spustit Kalkulačka.
Raff prohlásil, že v budoucnu zveřejní další podrobnosti.
Zdroj: Computerworld.com
Poznámka: V původním článku je Aviv Raff označen jako „výzkumník“, v komentářích se ovšem poznamenává, že to je eufemismus. Existuje řada názorů i neoficiálních standardů na to, jak se má postupovat v případě objevu bezpečnostní chyby při kontaktování výrobce softwaru. Raffův postup je ovšem značně nezodpovědný. Raff sám navíc dal svůj krok do souvislosti s oslavami izraelského Dne nezávislosti.
Viz také:
Hackeři se zaměřují na Firefox
Opera bude bezpečnější
Záplaty Microsoftu na příští týden: Windows Vista SP1, Server 2008, Internet Explorer
PŘEDPLATNÉ
ČLÁNKY DO MAILU