Microsoft se asi rozhodl nadělit uživatelům vánoční dárek už teď a vyrobil záplatu pro Internet Explorer, která opravuje všechny doposud objevené chyby tohoto prohlížeče plus tři nové.
Záplata se dá použít na Microsoft Internet Explorer verze 5.5 SP2 a 6.
Asi nejzávažnější nově nalezená chyba umožňuje zneužít HTTP hlavičky Content-Disposition a Content-Type v proudu dat. Hlavička Content-Type vyjadřuje druh zasílaných dat a Content-Disposition typ a jméno souboru. Pokud chcete stáhnout soubor ze serveru, který bude nabídnut k uložení, server vygeneruje odpověď například s těmito hlavičkami.
Content-type: application/octet-stream
Content-disposition: filename=najakysoubor.dat
Záměrnou změnou hlaviček může dojít k tomu, že útočník může vytvořit webovou stránku nebo HTML e-mail, kde bude například spustitelný soubor pokládán za textový. Proto s ním bude nakládáno jako se souborem představujícím minimální riziko. Načtením takto speciálně upravené stránky dojde k automatickému stažení souboru a následně k jeho spuštění bez nutného potvrzení uživatelem.
Druhou nově odhalenou chybou je obměněná varianta "Frame Domain Verification". Chyba umožňuje nepravým operátorům (autorům stránek) číst soubory na lokálním počítači uživatele. Soubory se dají pouze číst, nelze je měnit, vytvářet, mazat ani spouštět. Takový soubor musí umět zobrazit Internet Explorer a útočník musí znát jeho přesné umístění na vašem počítači. Nejedná se o tak závažnou chybu jako v předcházejícím případě.
Poslední nově odhalená chyba se týká záměny názvu souboru při stahování z webu. V zobrazeném dialogu pro stažení souboru se zobrazí jiný název než je skutečný. Chyba může být zneužita na webových stránkách nebo v HTML e-mailu, kdy se uživatel domnívá, že stahuje bezpečný soubor a přitom si může stáhnout například nebezpečný skript.
Opravu a detailní popis chyb můžete najít na stánkách Microsoftu. Zajímavé čtení k první chybě najdete i na stránkách objevitelů této chyby Online Solutions.
Instalace záplaty je velmi doporučena, protože zejména první chyba se dá velmi dobře zneužít k tvorbě nových červů. Proto rychle instalujte, abyste za měsíc nelitovali. Škoda jen, že nebyla vydána kumulativní záplata i pro starší prohlížeče. Mnoha uživatelům by to jistě usnadnilo práci.