Microsoft zamierza jeszcze dziś upublicznić krytyczną aktualizację dla przeglądarki Internet Explorer, biuletyn oznaczono symbolem MS10-002.
Aktualizacja dotyczy usterki która wyszła na jaw przy okazji ostatnich ataków na infrastrukturę Google. Problem występuje w przeglądarce Internet Explorer 6, 7 i 8 dla systemów Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 i Windows Server 2008 R2. Jednakże na największe niebezpieczeństwo narażeni są użytkownicy korzystający z IE6 w systemie Windows XP.
W ostatnich dniach pojawiły się kolejne niepokojące doniesienia na temat skali zagrożenia. Według niektórych specjalistów wbrew wcześniejszym zapewnieniom Microsoftu luka może być aktywnie wykorzystana również w przypadku gdy mechanizm Data Execution Protection (DEP) jest aktywny. Opisana sytuacja dotyczy IE7 w systemie Windows Vista oraz IE8 w Windows XP. Microsoft zaktualizował poradnik bezpieczeństwa opisujący lukę i faktycznie tego typu ataki są możliwe. Obejście DEP jest możliwe jednak w Viście i nowszych systemach z rodziny Windows jest to znacznie utrudnione za sprawą mechanizmu Address Space Layout Randomization (ASLR). Tylko w przypadku Windows XP proces ten jest stosunkowo prosty.
Microsoft potwierdza na razie jedynie ataki z wykorzystaniem Windows XP i przeglądarki Internet Explorer 6 ponieważ dla tej luki istnieje publicznie dostępny exploit. Biorąc pod uwagę możliwość obejścia DEP do strefy wysokiego ryzyka zaliczyć można ponadto Windows XP z IE7.
Na szczęście jeszcze dziś udostępniona zostanie odpowiednia aktualizacja (MS10-002).
Źródło: Microsoft
Choćby ile łatali to i tak to będzie jedna z najbardziej dziurawych aplikacji 😀
Poprawka powinna być dostępna dziś wieczorem.