Microsoft vydá mimořádné bezpečnostní opravy pro Internet Explorer

26. 7. 2009

Sdílet

Společnost Microsoft plánuje vydat příští týden mimo běžný plán dvě mimořádné záplaty pro prohlížeč Internet Explorer.

Experti doporučují tyto opravy nepřehlížet, neboť nestandardní termín uvolnění vypovídá o jejich významu. Jedna z oprav má za cíl vyřešit kritickou zranitelnost Internet Exploreru, která se nedočkala vyřešení v pravidelném červencovém termínu uvolňování záplat a informace o její existenci se objevily až nyní. Microsoft v tomto případě rozhodl, že nebude čekat s jejím odstraněním až do dalšího regulérního termínu, který má nastat 11. srpna a spolu s ní bude vydán i patch pro Visual Studio, který odstraňuje zranitelnost, označenou za středně nebezpečnou.

Záplaty mají být uvolněny toto úterý v 10 hodin amerického západního času. Pro uživatele v ČR to znamená jejich dostupnost o devět hodin později. Již v předchozích týdnech se ovšem hovořilo o další závažné chybě v Internet Exploreru, která byla sice opravena, ale údajně ne dostatečně. Podle bezpečnostního experta Halvara Flakea totiž tato nově objevená chyba úzce souvisí s intenzivně medializovanými problémy Internet Exploreru v souvislosti s komponentou ActiveX, které Microsoft blíže identifikoval na začátku měsíce. Ten pak sice 14. července (tedy v regulérním termínu pro uvolňování patchů) sice vydal jakousi opravu na tuto zranitelnost označovanou jako "kill-bit", která znemožní určité funkce ActiveX, ale jak tvrdí Flake, podle jeho zjištění jde jen o jakési povrchové řešení a není ošetřena zranitelnost na nižší vrstvě, takže možnost nových útoků zůstává stále otevřena.

Microsoft přesně nespecifikoval, co bude opravovat, neboť je již víceméně běžnou praktikou, že bližší informace nejsou vydány dokud chyby nejsou zneužité internetovými útočníky. Problém se pravděpodobně týká široce využívané komponenty Windows označované jako Active Template Library (ATL) a v každém případě by nová záplata měla být středem pozornosti IT administrátorů ve firmách během následujícího týdne, protože pokud Microsoft vydá nějaký patch mimo plán, jde o poměrně zásadní věc, tvrdí Roger Thompson ze společnosti AVG Technologies.

Podle dalších bezpečnostních expertů byly jen v červnu zneužity tisíce webů k útokům na zranitelnost v komponente ActiveX, která byla opravena až v červenci. Přitom první report o této chybě dostal Microsoft již před více než rokem, ale intenzivněji se jí začal zabývat až nyní. Bližší informace o tomto problému najdete v článku Microsoft potvrdil další útoky na IE6 a IE7.