Microsoft se začal zajímat o zranitelnost v IE starou několik let

9. 9. 2010

Sdílet

Dlouho známá zranitelnost v prohlížeči Internet Explorer se nyní konečně dostala i do hledáčku Microsoftu. Jde o chybu, která by mohla být zneužita pro přístup k datům uživatelů.

Díky zranitelnosti se hackeři mohou dostat do e-mailových účtů či zneužít účty na mikroblogovací službě Twitter. Do širšího povědomí se chyba dostala v březnu letošního roku díky Chrisu Evansovi, bezpečnostnímu inženýrovi Googlu. Ten její potenciál demonstroval dokonce i na konkrétním případě, když ukázal, jak snadno je možné ji v prohlížeči IE8 zneužít k tweetování na cizím účtu.

Zranitelnost má poměrně dlouhou historii. Výzkumníci z univerzity Carnegie Mellon nedávno zveřejnili dokument, podle kterého je možné informace o této chybě zpětně dohledat až do roku 2002. I přesto byla zranitelnosti věnovaná velmi malá pozornost. Věci se daly do pohybu až díky Evansovi. Všichni výrobci nejpoužívanějších prohlížečů, tedy Firefoxu, Chromu, Safari a Opery, pro zranitelnost vydali opravnou aktualizaci, jediný Internet Explorer zůstal neopravený. Přitom právě IE je podle Evanse nejzranitelnějším prohlížečem vůbec. Náprava má přijít až s další verzí IE9, jejíž veřejná beta je naplánována na 15. září. Do vydání finální verze, které je ještě hodně daleko, se však může stát cokoliv.

Evans se podle svých slov snažil Microsoft přesvědčit k vydání rychlé opravy pro Internet Explorer. Když však neuspěl, rozhodl se demonstrovat účinky možného zneužití na konkrétní ukázce. Tím nakonec přeci jen dosáhl alespoň toho, že se Microsoft začal o chybu minimálně zajímat. Samotná společnost se nicméně k případu nechce více vyjadřovat. Jerry Bryant z Microsoft Security Response Center pouze uvedl, že Microsoftu nejsou momentálně známé žádné případy zneužití zranitelnosti k útokům na uživatelská data.

Není to poprvé, kdy někdo z Googlu upozornil na zranitelnost v některém z produktů Microsoftu s tím, že tak činí z důvodu jeho nečinnosti. V červnu tohoto roku se svým objevem pochlubil Tavis Ormandy, který v Googlu stejně jako Evans zastává pozici bezpečnostního inženýra. Ormandy upozornil na zero-day zranitelnost operačního systému Windows XP. Na veřejnost se však informace o chybě dostala pouhých pět dní poté, co na ní Ormandy upozornil pracovníky Microsoftu. Tímto svým konání vzápětí sklidil vlnu kritiku a to nejen od Microsoftu, ale i některých bezpečnostních odborníků. Více o této zranitelnosti se můžete dočíst v článku Hackeři již zneužívají kritickou chybu ve Windows XP.