W DI informowaliśmy już, że Niemiecki Federalny Urząd ds. Bezpieczeństwa Technologii Informacyjnych ostrzegł przed używaniem starszych wersji przeglądarek i zalecił przynajmniej tymczasowe korzystanie z przeglądarki innej niż IE. Microsoft przyznał, że jego produkt jest obecnie podatny na działania cyberprzestępców i prawdopodobnie dzięki temu doszło do głośnego ataku na Google.

>>> Czytaj: Niemcy: Zmieńcie przeglądarkę!

Luka jest naprawdę poważnym problemem. Według firmy G DATA wykorzystujący ją eksploit został niedawno opublikowany i w krótkim czasie użytkownicy forów mogli bez problemu go skopiować.

Zdaniem Microsoftu kod jest niebezpieczny dla użytkowników starszych wersji przeglądarek, ale eksperci z innych firm sądzą, że da się go dostosować do nowszych wersji.

– W krajowych warunkach prawdopodobnych wariantów zastosowania luki jest wiele. Haker może na przykład wykorzystać nieautoryzowany kod oprogramowania, rozsyłając linki do specjalnie spreparowanych stron WWW i instalując w ten sposób złośliwe oprogramowanie na komputerze ofiary. Wejście na zainfekowaną witrynę może prowadzić do przejęcia całkowitej kontroli nad systemem Windows - wyjaśnia Tomasz Zamarlik z G Data Software.

Odstawić IE 6?

Microsoft wydal już oficjalną poradę, w jaki sposób należy zabezpieczyć się przed błędem w Internet Explorerze. Firma stanowczo też twierdzi, że podatne na atak są systemy Windows 2000 i XP z przeglądarką IE 6. Na Windowsie XP z IE7 atak jest teoretycznie możliwy, ale metoda ataku nie jest znana. Więcej na ten temat można poczytać na blogu Women in Technology, prowadzonym przez Paulę Januszkiewicz, która posiada tytuł MVP i jest audytorem bezpieczeństwa IT.

Specjaliści z innych firm polecają jednak po prostu zmianę przeglądarki. Alternatywnych produktów przecież nie brakuje, a użytkownicy IE mogą być zmuszeni do czekania na poprawkę nawet przez 3 tygodnie. Microsoft wydaje swoje łatki zazwyczaj w drugi wtorek miesiąca, a do tej pory rzadko wydawał łatki poza harmonogramem. Teraz wydanie wcześniejszej aktualizacji jest możliwe, ale nie padła żadna konkretna data. 

W tej sytuacji również we Francji rząd postanowił odradzić korzystania z Internet Explorera. Porada została wydana przez CERTA, czyli rządowe centrum reagowania na ataki komputerowe. To, co robi CERTA, wydaje się naturalne - francuskim firmom grożą różne niebezpieczeństwa w związku z konkretnym produktem, więc doradza się korzystanie z alternatyw, które są przecież bezpłatne. 

Wątpliwości co do takich porad ma jednak Graham Cluley z firmy Sophos.

– Wygląda na to, że rządy w Europie zaczynają doradzać społeczeństwu i instytucjom, aby zaprzestali używania najbardziej popularnej przeglądarki, dopóki Microsoft nie upora się z naprawą krytycznej luki - powiedział Cluley. - Jednak nagłe odsunięcie się od Internet Explorera nie w każdym przypadku jest dobrym pomysłem. Niektórzy internauci mogą mieć problemy z dostosowaniem się do nowego interfejsu w alternatywnej przeglądarce, a pewne aplikacje webowe nie będą działały wcale pod kontrolą innej przeglądarki (…) Zmiana przeglądarki ma sens, tylko gdy naprawdę wiesz, jak z niej korzystać. Na myśl nasuwa się przysłowie "lepsze zło znane niż nieznane".

Tymczasowa przesiadka zła?

Cluley może mieć rację co do tego, że przesiadka na inny produkt może być problemem. Z drugiej strony podstawowy interfejs większości przeglądarek i tak jest podobny, a większość dostawców aplikacji webowych dba już o zgodność z innymi przeglądarkami.

Słowa Cluley'a można też odebrać inaczej. Jeśli tymczasowe przesiadki to nic dobrego, to może warto rozważyć stałą przesiadkę na przeglądarkę inną niż IE? Powodem ku temu może być wspomniany mechanizm łatania Microsoftu. Informacje o lukach coraz częściej pojawiają się na krótko przed lub krótko po aktualizacjach wydawanych zawsze w drugi wtorek miesiąca. Dzięki temu użytkownicy bardzo  popularnego oprogramowania są przez długi czas narażeni na atak. Więcej na ten temat w innym tekście DI.

>>> Czytaj: Przewidywalność aktualizacji słabym ogniwem Microsoftu?