Marcowe dziury Internet Explorera
Programiści Microsoft zajmujący się przeglądarką Internet Explorer mają w tym miesiącu ręce pełne roboty. Do tej pory oficjalnie poinformowano o 3 błędach wykrytych w tym programie.
13 marca, na blogu Holendra Jeffreya van der Stada pojawiła się informacja o odkryciu przez niego kolejnego błędu w przeglądarce Internet Explorer 6. Nieprawidłowość umożliwia uruchamianie plików HTA (powiązanych z aplikacjami inernetowymi) bez pozwolenia użytkownika.
Jeffrey potwierdził jej działanie na systemach Windows 98, Windows XP Pro, Windows XP Media Center Edition oraz Windows 2003 Server (Standard). Microsoft został natychmiast poinformowany o dziurze i już nad nią pracuje. Łata powinna zostać uwzględniona w kwietniowym biuletynie bezpieczeństwa. Wtedy to jej odkrywca udostępni publicznie kod udowadniający istnienie dziury, tzw. proof of concept. Holenderski programista oraz Microsoft twierdzą, że jak na razie w sieci nie pojawił się exploit wykorzystujący tę lukę.
Drugą z luk odkrył Polak - Michał Zalewski. Umożliwia ona zawieszenie przeglądarki Internet Explorer podczas odwiedzania odpowiednio przygotowanej strony. Serwis Secunia.com oznaczył nieprawidłowość jako "nie krytyczna", choć Michał Zalewski uważa, że exploit wykorzystujący tę dziurę mógłby okazać się niebezpieczny.
O trzeciej, tym razem bardzo niebezpiecznej - zdaniem serwisu Secunia - dziurze poinformowano wczoraj. Luka występuje w związku z błędem podczas przetwarzania polecenia "createTextRange()" przy tzw. przycisku radiowym. Eksperci ostrzegają, że luka ta może zostać zdalnie wykorzystania do przejęcia systemu Windows użytkownika - wystarczy, że przestępcy przygotują odpowiednią stronę.
Nieprawidłowość została potwierdzona w przeglądarce Internet Explorer 6.0 oraz Internet Explorer 7 Beta 2 Preview, zainstalowanych na systemie Windows XP SP2. W przypadku tej dziury Microsoft radzi wyłączyć funkcję Active Scripting oraz unikać odwiedzania stron, które nie budzą zaufania.