Společnost Microsoft v pondělí vydala nouzovou bezpečnostní aktualizaci, která opravuje chybu zabezpečení v aplikaci Internet Explorer (IE), což je starší prohlížeč, který používají převážně komerční zákazníci.
Nedostatek, který Microsoftu nahlásil Clement Lecigne, bezpečnostní technik Google Threat Analysis Group (TAG), již útočníci zneužili, což z něj činí klasickou chybu „nultého dne“, která se aktivně zneužívá ještě před vydáním opravy.
V bulletinu zabezpečení, který doprovázel vydání opravy IE, označil Microsoft chybu za zranitelnost vzdáleného kódu (remote code vulnerability), což znamená, že hacker mohl zneužitím této chyby zavést do prohlížeče škodlivý kód. Zranitelnosti vzdáleného kódu, nazývané také vzdálené spuštění kódu nebo RCE, se řadí mezi nejzávažnější chyby zabezpečení. Tato závažnost, jakož i skutečnost, že zločinci tuto zranitelnost již využívají, se odrazila v rozhodnutí Microsoftu nevyužít obvyklý opravný cyklus a chybu zalepit zvlášť.
Společnost Microsoft tradičně poskytuje své bezpečnostní aktualizace každé druhé úterý v měsíci, tzv. „Patch Tuesday“. Další takový den bude 8. října čili za dva týdny.
„Ve scénáři útoku na webu by útočník mohl hostit speciálně vytvořenou webovou stránku, která je navržena tak, aby zneužila tuto chybu zabezpečení prostřednictvím aplikace Internet Explorer a poté přesvědčila uživatele, aby si takový web prohlédl, například zasláním e-mailu,“ napsal Microsoft v bulletin.
Chyba je ve skriptovacím enginu IE, oznámil Microsoft; bližší detaily ale neposkytl.
Zdroj: Computerworld.com