Ledwo Microsoft załatał lukę związaną z przetwarzaniem kaskadowych arkuszy stylów (CSS) w Internet Explorerze, a już odkryto nową, podobną. Przed świętami Bożego Narodzenia wykorzystujący ją moduł został dołączony do Metasploita - pakietu narzędzi ułatwiających analizowanie zabezpieczeń.
Błąd występuje w bibliotece mshtml.dll i ujawnia się podczas przetwarzania stron z odnośnikami do zewnętrznych plików CSS (instrukcja @import). Odwiedzenie specjalnie spreparowanej strony internetowej może skutkować zdalnym wykonaniem szkodliwego kodu na komputerze ofiary.
Na atak podatne są wszystkie stabilne wersje przeglądarki Internet Explorer - od 6 do 8. Nowo opracowany exploit omija mechanizmy DEP (Data Execution Prevention) i ASLR (Address Space Layout Randomization).
Kiedy można oczekiwać stosownej poprawki, nie wiadomo. Fermin J. Serna na Microsoftowym blogu Security Research & Defense zaleca tymczasowe zabezpieczenie systemu przy użyciu programu EMET (Enhanced Mitigation Experience Toolkit).
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
|
|
|
|
|
|