Microsoft Issues Security Advisory on IE פגיעות

מיקרוסופט ביום שני בלילה הוציא ייעוץ אבטחה המספק ללקוחות הדרכה והדרך לעקיפת הבעיה כדי להתמודד עם ניצול יום אפס מכוון Internet Explorer.

מוקדם יותר היום, החברה אמרה שהיא חוקרת את האירוע אשר יצא בסוף השבוע כאשר מישהו פרסם את קוד לנצל לרשימת דיוור Bugtraq. עד יום שני בלילה, מיקרוסופט החליפה הילוכים והוציאה את היידוע. לא בוצעו כל פגיעות פעילות של הפגיעות שדווחו עד כה.

Microsoft פרסמה את יידוע האבטחה 977981, הכולל דרכים לעקיפת הבעיה שחושפת פגם בעמודי סגנונות מדורגים שעלולים לאפשר ביצוע קוד מרחוק.

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

היידוע מאשר את הפגיעות המשפיעה על IE 6 ב- Windows 2000 Service Pack 4 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית), ו- IE 6 ו- IE 7 במהדורות נתמכות של XP, Vista, Windows Server 2003 ו- Windows Server 2008. משתמשי מיקרוסופט אמר כי מפעיל את IE 7 ב- Vista יכול להגדיר את הדפדפן לפעול במצב מוגן כדי להגביל את השפעת הפגיעות. כמו כן, מומלץ להגדיר את הגדרת האבטחה של אזור האינטרנט ל "High" כדי להגן מפני הניצול. ההגדרה "גבוהה" תשבית את JavaScript, המהווה כעת את מצב ההתקפה היחיד שאושר.

Microsoft אמרה כי IE 5.01 Service Pack 4 ו- IE 8 בכל הגירסאות הנתמכות של Windows אינן מושפעות.

כדי שהתקפה תפעל, האקר היה הראשון צריך לקבל הקורבן שלו לבקר באתר אינטרנט כי אירח את קוד לנצל. זה יכול להיות אתר אינטרנט זדוני שנקבע על ידי האקר עצמו או שהוא יכול להיות אתר המאפשר למשתמשים להעלות תוכן.

דרך אחרת פושעי סייבר השיקה סוג זה של התקפה, עם זאת, היא על ידי פריצה לאתרי אינטרנט לגיטימיים. מוקדם יותר השבוע, לדוגמה, הלהקה של הלהקה האזרחית Cobra Electronics חשפה כי היא נפרצה בחודש יוני, ככל הנראה על ידי האקר מקצועי שהשתמש באתר כדי להוריד תוכנות זדוניות ללקוחות.

מיקרוסופט לא אמרה אם זה יהיה תיקון פגם במהלך סדרת העדכונים הביטחוניים המתוכננים בקביעות, בעקבות 8 בדצמבר.

(