Microsoft wydaje łatkę, aby zaimplementować lukę w IE

Zgodnie z oczekiwaniami, Microsoft opublikował wczoraj biuletyn bezpieczeństwa i łatę zaprojektowaną do naprawy krytyczna dziura w przeglądarce Internet Explorer, która jest już szeroko wykorzystywana przez napastników. Firma ogłosiła również zmianę w usłudze Windows Update dla trzech wcześniej wydanych poprawek z października dla niektórych użytkowników dodatku Service Pack 1 dla systemu Windows XP.

Luka opisana w najnowszym biuletynie Microsoftu, MS04-040, została po raz pierwszy ujawniona 24 października i istnieje w znacznikach iFrame w Internet Explorerze. Błąd związany z przepełnieniem bufora pozwala atakującym na przejęcie pełnej kontroli nad zagrożonym systemem i może zostać wykorzystany poprzez umożliwienie użytkownikom odwiedzania stron internetowych, na których można pobrać złośliwy kod.

Wykorzystanie exploita o nazwie Bofra, który wykorzystuje zalety iFrame luka była dostępna od kilku dni i została wykorzystana podczas ataków za pośrednictwem banerów reklamowych z zeszłego tygodnia, które przekierowywały użytkowników do fałszywych stron internetowych.

"Znamy kilka kodów potwierdzających koncepcję i publiczne ataki", które wykorzystują lukę , powiedział Stephen Toulouse, kierownik ds. programów bezpieczeństwa w centrum reagowania na zagrożenia Microsoftu. Właśnie dlatego Microsoft zachęca użytkowników do stosowania najnowszych poprawek tak szybko, jak to możliwe, dodał.

Wada nie dotyczy użytkowników, którzy już zainstalowali XP SP2, powiedział.

Tymczasem Microsoft wydał ponownie trzy z nich poprawki od października dla użytkowników dodatku SP1, którym wcześniej nie oferowano aktualizacji. Problem dotyczy użytkowników SP1, którzy mogli pobrać poprawkę SP2, ale jeszcze jej nie zainstalowali na swoich komputerach.

Usługa Windows Update i automatyczna aktualizacja firmy Microsoft nie oferowałaby automatycznie październikowych poprawek dla takich użytkowników, podała Toulouse. Dzisiejsze aktualizacje rozwiązują problem tych użytkowników.