Kolejna luka zero-day w przeglądarce Microsoftu

27-12-2010, 12:28

Ledwo Microsoft załatał lukę związaną z przetwarzaniem kaskadowych arkuszy stylów (CSS) w Internet Explorerze, a już odkryto nową, podobną. Przed świętami Bożego Narodzenia wykorzystujący ją moduł został dołączony do Metasploita - pakietu narzędzi ułatwiających analizowanie zabezpieczeń.

Błąd występuje w bibliotece mshtml.dll i ujawnia się podczas przetwarzania stron z odnośnikami do zewnętrznych plików CSS (instrukcja @import). Odwiedzenie specjalnie spreparowanej strony internetowej może skutkować zdalnym wykonaniem szkodliwego kodu na komputerze ofiary.

Na atak podatne są wszystkie stabilne wersje przeglądarki Internet Explorer - od 6 do 8. Nowo opracowany exploit omija mechanizmy DEP (Data Execution Prevention) i ASLR (Address Space Layout Randomization).

>> Czytaj także: O 40 luk mniej w produktach Microsoftu

Kiedy można oczekiwać stosownej poprawki, nie wiadomo. Fermin J. Serna na Microsoftowym blogu Security Research & Defense zaleca tymczasowe zabezpieczenie systemu przy użyciu programu EMET (Enhanced Mitigation Experience Toolkit).


Przepisy na coś słodkiego z kremem Nutella
  
znajdź w serwisie

RSS  
RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy