Biuletyn zabezpieczeń MS12-063, opublikowany dziś z pominięciem comiesięcznego cyklu aktualizacji, dostarcza zbiorczą poprawkę dla wszystkich wersji Internet Explorera (z wyjątkiem niewydanej jeszcze oficjalnie „dziesiątki”, która według Microsoftu nie jest podatna na lukę CVE-2012-4969). O luce zrobiło się głośno po ostatnim weekendzie - w sieci pojawiły się wykorzystujące ją exploity, a twórcy narzędzi do testów penetracyjnych, takich jak Metasploit, dołączyli je do swoich baz.

Szybko się okazało, że nowo odkryta podatność służy do rozpowszechniania m.in. konia trojańskiego PoisonIvy, który w ubiegłym roku atakował amerykańskie koncerny chemiczne. Ślad prowadzi do grupy odpowiedzialnej za sierpniowe ataki poprzez lukę w Javie, z załataniem której Oracle sobie nie poradziło.

Podatność, którą usuwa najnowsza aktualizacja Microsoftu, pozwala na wykonanie dowolnego kodu w systemie z uprawnieniami użytkownika przeglądarki w wyniku błędu typu use-after-free występującego w bibliotece mshtml.dll - informują eksperci z zespołu CERT Polska. Poniżej można obejrzeć przygotowany przez nich film obrazujący sposób wykorzystania luki:

O luce zero-day informowały nie tylko media branżowe, gdyż - wbrew pozorom - IE cieszy się wciąż sporą popularnością. Jak wynika ze statystyk dostępnych w serwisie gemiusRanking, w ubiegłym tygodniu, tj. w okresie od 10 do 16 września, różnych wersji Internet Explorera używało 19,48% polskich internautów. W skali światowej wykorzystanie przeglądarki Microsoftu było jeszcze większe i według StatCountera wynosiło 32,60%.

Czytaj także: Go Dark For IE: Przyciemnią internet w dniu premiery Windowsa 8?

Na temat luki wypowiedział się nawet niemiecki urząd ds. bezpieczeństwa informatycznego, zalecając używanie innych przeglądarek, dopóki problem nie zostanie rozwiązany. Sam Microsoft przedwczoraj opublikował narzędzie typu Fix it, które tymczasowo zapobiegało wykorzystaniu luki w 32-bitowych wersjach IE. Użytkownicy wydań 64-bitowych mogli zmniejszyć ryzyko, instalując i odpowiednio konfigurując narzędzie EMET (Enhanced Mitigation Experience Toolkit).

Dzisiaj z kolei, zgodnie z wcześniejszą zapowiedzią, została wydana przedterminowa aktualizacja zbiorcza dla wszystkich wersji Internet Explorera podatnych na omawianą lukę. Niejako przy okazji Microsoft usunął również cztery mniej poważne błędy. Poprawka będzie standardowo rozprowadzana za pomocą Windows Update, można ją także pobrać bezpośrednio ze strony producenta.

Czytaj także: Microsoft będzie wspierał Do Not Track, dołączy rozwiązanie do IE 10