Jak wynika z informacji dostępnych w serwisie TechNet, błąd w zabezpieczeniach Internet Explorera ma status krytyczny. Jego wykorzystanie pozwala więc cyberprzestępcy na zdalne wykonanie dowolnego kodu. Luka występuje w wersjach 5.01, 6, 7 i 8 działających w systemach Windows 2000, XP oraz Vista (w systemach Windows Server 2003 i 2008 dziura ma status średnio ważny).

Druga aktualizacja ma wyeliminować podobną lukę w Visual Studio .NET 2003, 2005 i 2008, a także w Visual C++ 2005 i 2008. Błąd oznaczono jako średnio ważny.

Oba biuletyny zostaną opublikowane w najbliższy wtorek, 28 lipca. Dziennik Internautów przypomina użytkownikom Windowsa, że półtora tygodnia temu Microsoft wydał już trzy biuletyny krytyczne i tyle samo ważnych. Usunięto m.in. lukę w formancie ActivX aktywnie wykorzystywaną przez cyberprzestępców. Niezałatany pozostaje natomiast błąd w komponencie webowym pakietu Microsoft Office, wykryty w tym miesiącu - odnotowano już pierwsze ataki z użyciem tej dziury.

Aktualizacja

Zgodnie z zapowiedzią Microsoft wydał dziś dwa dodatkowe biuletyny bezpieczeństwa. MS09-034 jest oznaczony jako krytyczny i dostarcza zbiorczą aktualizację dla wszystkich wersji firmowej przeglądarki - podatność nie występuje jedynie w Internet Explorerze 8 działającym pod Windows 7. Błąd znaleziono w Active Template Library (ATL).

Komentatorzy są przekonani, że przedterminowa publikacja poprawki ma związek z prelekcją Marka Dowda, Ryana Smitha i Davida Dewey'a na konferencji Black Hat w Las Vegas. Zaprezentowali oni sposób obejścia mechanizmu killbit, wykorzystywanego do dezaktywowania kontrolek ActiveX. Przedstawiona metoda pozwala na zdalne wykonanie szkodliwego kodu, nawet jeśli użytkownik wyłączy wadliwy komponent.

Biuletyn MS09-035 ma status średnio ważny (ang. moderate) i łata taki sam błąd w pakietach redystrybucyjnych programów Visual Studio i Visual C++. Redakcja Dziennika Internautów zaleca jak najszybszą instalację obu aktualizacji.