Microsoft: V Internet Exploreru 9 chyba z Pwn2Own není

12. 3. 2011

Sdílet

Microsoft uvádí, že chyba využitá při kompromitaci Internet Exploreru na klání CanSecWest skupiny Pwn2Own se netýká nejnovější verze MSIE 9.

Finální lokalizovanou podobu Internet Exploreru 9 uvede Microsoft v ČR 15. 3, anglickou verzi o den dříve. Pro firmu je jistě příjemné, že vzápětí nebude muset zveřejňovat opravu.

Zneužití hned 3 zranitelností především v Chráněném režimu v Internet Exploreru 8 předvedl Stephen Fewer z firmy Harmony Security. Získal 15 000 dolarů a notebook Sony Vaio.

 

Viz také: Safari a Internet Explorer padly, Chrome a Firefox vydržely

 

Microsoft (konkrétně Jerry Bryant z Microsoft Security Response Center na americkém Computerworldu) uvádí, že o chybě věděl. Nacházela se ještě ve verzi MSIE 9 release candidate, ve finální verzi je však opravena. Z toho by snad mělo vyplývat, že k dispozici je již i opravný kód a záplatu pro starší verze Internet Exploreru by Microsoft měl být schopen vydat relativně brzy. To ovšem ještě neznamená, že problém bude řešen mimořádnou záplatou. Microsoft se uvolňování oprav mimo pravidelný aktualizační cyklus raději vyhýbá, protože firmám, které aktualizace před nasazením v produkčním prostředí testují, takový postup komplikuje život.

ICTS24

Konkrétní postupy zneužití ze soutěže Pwn2Own se navíc nezveřejňují, získává je pouze organizátor klání, společnost TippingPoint. Ta pak informuje výrobce a dává mu 6 měsíců na vývoj opravy, než vše publikuje. Kvůli tomuto „koordinovanému zveřejňování" by útoky proti chybě bezprostředně hrozit neměly – pokud ji samozřejmě nezávisle neobjeví někdo jiný...