Microsoft: Łatek jeszcze nie ma, ale jest nowa luka!
Jeszcze cztery dni trzeba czekać na wydanie aktualizacji łatających marcowe dziury w Internet Explorerze. Tymczasem już pojawiła się luka kwietniowa, która może ułatwić cyberoszustom przeprowadzanie ataków phishingowych.
Nowa luka została oceniona przez firmę Secunia jako średnio krytyczna. Odnosi się do sposobu, w jaki przeglądarka IE ładuje strony internetowe oraz pliki SWF.
Za jej pomocą można "oszukać" pasek adresu przeglądarki. Oznacza to, że użytkownik IE będzie przekonany o tym, że przebywa na właściwej stronie, podczas gdy w rzeczywistości będzie to oszukańcza strona phishingowa.
Działanie luki zostało potwierdzone na w przeglądarce IE 6.0 ze wszystkim łatkami i działającej na systemie Windows XP. Wiadomo, że podatny na atak jest również Internet Explorer 7 Beta 2. Możliwe, że inne wersje również.
Osoby, które chciałby przetestować swoją przeglądarkę pod kątem podatności na atak, mogą to zrobić korzystając z testu udostępnionego przez Secunię.
Ataków z wykorzystaniem luki jak dotąd nie zgłaszano. Microsoft podaje, że sprawa jest przezeń badana, ale wątpliwe jest raczej, abyśmy szybko ujrzeli efekty tego badania. W najbliższy wtorek opublikowane zostaną kwietniowe biuletyny bezpieczeństwa.
Jak zwykle w czwartek poprzedzający "wielkie łatanie" Microsoftu firma z Redmond udostępnia informacje na temat tego, co będzie poprawiane. Wynika z nich, że gigant raczej nie zamierza w najbliższym tygodniu łatać nowej dziury.
Wiadomo, że pojawi się łatka na eksploatowaną już przez oszustów lukę występującą w związku z błędem podczas przetwarzania polecenia "createTextRange()". Oprócz tego ukażą się trzy inne łatki dotyczące systemu Windows i jedna dotycząca pakietu Office.
Wśród biuletynów bezpieczeństwa pojawi się także aktualizacja zmieniająca sposób obsługi ActiveX, a związana z patentowymi problemami Microsoftu. Może ona sprawić użytkownikom pewne problemy, dlatego należy się spodziewać, że przyszły tydzień nie będzie łatwy zarówno dla Microsoftu, jak i użytkowników jego oprogramowania.