Všechny se týkají kešování objektů a na dvě z nich zatím není k dispozici oprava.
Firma
GreyMagic má s odhalováním bezpečnostních děr již své
zkušenosti. Není to tedy žádný začátečník. Nyní se zaměřili na Internet Explorer a jeho práci s kešováním objektů. Při komunikaci mezi jednotlivými okny se kontroluje v rámci zabezpečení, zda jsou obě komunikující okna ve stejné zóně bezpečnosti a ve stejné doméně. Dle GreyMagicu se nicméně mylně předpokládá, že některé objekty a metody budou volány jen z jejich příslušných oken, ale je možné je volat i z dočasných souborů.
Všech devět odhalených chyb má spojitost s kešováním objektů. Postiženy jsou Internet Explorer 5.5 a 6.0 (ne starší verze) a programy využívající zobrazovací jádro Internet Exploreru, naštěstí na většinu chyb již existuj opravy. Pokud máte Internet Explorer 6.0 SP1, týkají se vás jen dvě chyby. Umožňují číst lokální soubory, spouštět programy (bez zadání parametrů) a číst či měnit obsah schránky.
Kompletní popis chyb včetně ukázek zneužití lze nalézt na webu GreyMagicu, kde byly publikovány 22. října. Jako doporučené řešení se radí vypnout podporu aktivního skriptování.
Microsoft byl o chybě informován ve stejném okamžiku, jako byla zveřejněna, nedostal žádný čas na reakci. GreyMagic si tím sice vysloužil ostrou kritiku ze strany Microsoftu, vysvětluje to ale tím, že předchozí reakční dobu tři a šest měsíců u dříve odhalených chyb nepovažuje za adekvátní a chce dosáhnout rychlejší reakce.
Ohledně upozorňování na chyby se firmy snaží přimět nálezce chyb k poskytnutí časové rezervy na přípravu oprav, řada bezpečnostních odborníků se shodne na tom, že nějaký čas by měl být poskytnut, již se ale značně různí názory na délku tohoto času, zda den, týden, či měsíc.
Ačkoli GreyMagic upozorňuje, že tyto chyby jsou značně zneužitelné, popravdě tato kategorie chyb je tu již delší dobu a zatím bez vážnějších zneužití. Tyto chyby také měly delší období mezi zveřejněním chyby a reálnou dostupností opravy, ale z hlediska červů či virů nebyly zneužívány. Nově odhalené chyby navíc vyžadují náročnější programový kód. Podle pravidla „většina neinstaluje záplaty“ tak tu je řada dalších možností útoku. Pochopitelně to může být falešný pocit bezpečí, útok může přijít odkudkoli, když jsou ale otevřené hlavní dveře, pootevřené okénko v prvním patře zas takovou hrozbou není.
