Pierwszy exploit na nową dziurę w IE opublikowano tydzień temu na liście BugTraq prowadzonej przez SecurityFocus. Eksperci ds. bezpieczeństwa (m.in. z firmy Symantec) potwierdzili istnienie błędu w bibliotece mshtml.dll - problem dotyczy nieprawidłowej obsługi odwołania do obiektu CSS poprzez funkcję getElementsByTagName().

Testowany przez ekspertów kod zakłóca pracę przeglądarki, powodując jej zamknięcie. Bardziej zaawansowana wersja exploita mogłaby doprowadzić do przejęcia pełnej kontroli nad systemem Windows. W związku z tym Secunia - duńska firma analizująca luki w popularnym oprogramowaniu - uznała błąd za wysoce krytyczny (ang. highly critical).

>> Czytaj także: Microsoft łata dziury, exploity krążą w internecie

Kod, o który wzbogacono Metasploita, jest bardziej skuteczny od pierwowzoru, ale wciąż nie wykorzystuje w pełni odkrytej podatności - wynika z informacji podawanych przez Computerworld (zob. Robert McMillan, Metasploit releases IE attack, but it's unreliable). Jak twierdzi HD Moore, jeden z twórców Metasploita, błąd w przeglądarce jest dość nietypowy, atak nie zawsze się więc powiedzie.

Co na to Microsoft? Przedstawiciele koncernu opublikowali Security Advisory, w którym potwierdzili występowanie usterki w Internet Explorerze 6 SP1 działającym pod Windows 2000 SP4, jak również w Internet Explorerze 6 i 7 zainstalowanym w systemach Windows XP, Server 2003, Vista oraz Server 2008.

>> Czytaj także: Uwaga na fałszywe poprawki dla Windows XP

Nie wiadomo, kiedy pojawi się stosowna poprawka. Najlepszym sposobem zabezpieczenia się wydaje się aktualizacja przeglądarki Internet Explorer do wersji 8, która jest wolna od błędu. Można tego dokonać za pośrednictwem mechanizmu Windows Update. Tym, którzy chcieliby korzystać ze starszych wydań IE, Microsoft zaleca wyłączenie w ustawieniach obsługi ActiveScripting w strefach Internet i Local Intranet (warto pamiętać, że ograniczy to funkcjonalność aplikacji).