"Krater" sigurie në Internet Explorer

Një tjetër e "çarë" sigurie në Internet Explorer
Zbulohet një "megavrimë" në IE dhe Outlook që mund të përhapë në rrjet files, password dhe cookie të arkivuara tek PC e një përdoruesi. Patch akoma mungon. Ka edhe nga ata që akuzojnë bug hunter për publikimin e lajmit.

Një tjetër e "çarë" sigurie në Internet Explorer

Newport Beach (USA) - Duket tamam si një bombë me sahat ajo që sapo u vu në punë nga njoftimi, nga ana e kërkuesit danez Thor Larholm, mbi një të çarë sigurie të sapozbuluar tek Internet Explorer, Outlook dhe Outlook Express. Difekti, i përshkruar në një advisory të publikuar nga PivX Solutions - shoqëria e siguresës me të cilën Larholm bashkpunon -, mund të shfrytëzohet me anë të skript të futur në objektet HTML që i japin mundësinë, një sulmuesi, të rrisë të drejtat e tij në sistem, të lexojë file dhe cookie apo të zbatojë programet që ndodhen tek komjuteri i përdoruesit.

Sipas ekspertit të sigurisë, një agresor është në gjendje të kryejë këto veprime thjesht duke e ftuar përdoruesin të klikojë mbi një link në dukje i parrezikshëm të përfshirë në një dokument Web apo në një e-mail në formatin HTML. PivX ka publikuar disa shëmbuj brenda paralajmëmërimit të tij të sigurisë: leximi i cookie, leximi i file dhe ekzekutimi i komandave.

Difekti, që bën pjesë në llojet e quajtur "cross-domain scripting", është zbuluar nga Larholm më 25 qershor: të njëjtën ditë zbuluesi bën të ditur që ka lajmëruar Microsoft mbi problemin. Të mërkurën, pra plot dy javë nga zbulimi, Larholm vendosi të publikojë, megjithë mungesën e një patch korrigjues, kodin e exploit me të cilin mund të shfrytëzohet ky bug.

"Meqenëse tashmë ka mundësi që publiku të jetë në dijeni për këtë gjë - u justifikua Larholm - vendosa t'a lëshoj këtë njoftim vetëm pas një periudhe prej dy javësh".

Microsoft, e ka vlerësuar vendimin e Larholm si të "pandërgjegjshëm", ka kritikuar me forcë vendimin e kërkuesit mbi publikimin e hollësive të problemit përpara se ky të ishte korrigjuar. Shtëpia e Redmond, që ka pranuar rrezikshmërinë e këtij bug, ka precizuar që ekzistojnë faktorë ndihmues në problemin qën nuk përmenden tek lajmërimi i PivX: në veçanti, ka shpjeguar që prken nga ky bug vetëm ato versione të Outlook dhe Outlook Express ndaj të cilëve nuk janë aplikuar disa patchs të vjetër sigurie. Përdoruesit e Internet Explorer janë të mbrojtur vetëm po t'a kenë konfiguruar nivelin e mbrojtjes tek browser-ë e tyre tek "Site të besueshëm": një konfigurim "ekstrem" i përdorur nga një fetë tepër e vogël përdoruesish.

Në pritje që Microsoft të lëshojë një patch, Larholm rakomandon të gjithë përdoruesit e IE të disaktivojnë kontrollet ActiveX tek konfigurimi i sigurisë tek browser-i i tyre. Versionet e IE në të cilët është verifikuar dobësia janë versioni 6.0 dhe 5.5 për Windows (98, XP, NT4, 2000).