Ledwo Microsoft załatał lukę związaną z przetwarzaniem kaskadowych arkuszy stylów (CSS) w Internet Explorerze, a już odkryto nową, podobną. Przed świętami Bożego Narodzenia wykorzystujący ją moduł został dołączony do Metasploita - pakietu narzędzi ułatwiających analizowanie zabezpieczeń.

Błąd występuje w bibliotece mshtml.dll i ujawnia się podczas przetwarzania stron z odnośnikami do zewnętrznych plików CSS (instrukcja @import). Odwiedzenie specjalnie spreparowanej strony internetowej może skutkować zdalnym wykonaniem szkodliwego kodu na komputerze ofiary.

Na atak podatne są wszystkie stabilne wersje przeglądarki Internet Explorer - od 6 do 8. Nowo opracowany exploit omija mechanizmy DEP (Data Execution Prevention) i ASLR (Address Space Layout Randomization).

>> Czytaj także: O 40 luk mniej w produktach Microsoftu

Kiedy można oczekiwać stosownej poprawki, nie wiadomo. Fermin J. Serna na Microsoftowym blogu Security Research & Defense zaleca tymczasowe zabezpieczenie systemu przy użyciu programu EMET (Enhanced Mitigation Experience Toolkit).


Artykuł może zawierać linki partnerów, umożliwiające rozwój serwisu i dostarczanie darmowych treści.

Stopka:

Kanały dostępu:

Partnerzy:

© 1998-2025 Dziennik Internautów Sp. z o.o. Wszelkie prawa zastrzeżone.