Bezpečnost | Internet Explorer | Aktualizace

V Internet Exploreru je díra, kterou hackeři aktivně využívají. Microsoft díru opraví, ale asi až v únoru

Microsoft potvrdil, že ví o chybě zabezpečení webového prohlížeče Internet Explorer, kterou aktivně zneužívají hackeři. Ve vyjádření pro server TechCrunch uvedl, že pracuje na vydání záplaty. Je však nepravděpodobné, že bychom se jí dočkali dříve než 11. února v rámci pravidelných aktualizací.

Americká vládní agentura US-Cert, zabývající se počítačovou kriminalitou, zveřejnila na Twitteru odkaz na podrobnosti o bezpečnostní zranitelnosti, evidované pod označením VU#338824. Konkrétně jde o problém ve skriptovacím modulu aplikace Internet Explorer.

Chyba v Internet Exploreru

Podstata problému tkví v tom, že skriptovací modul (Scripting Engine) webového prohlížeče MS Internet Explorer obsahuje chybu zabezpečení, která může vzdálenému neověřenému útočníkovi umožnit spuštění libovolného kódu. Bezpečnostní experti varují, že uvedená chyba je již aktivně zneužívána útočníky.

Microsoft uvedl, že chybou jsou ovlivněny všechny podporované verze Windows, včetně systému Windows 7, který by po ukončení oficiální podpory již neměl dostávat aktualizace zabezpečení. Předpokládá se, že jde o podobnou chybu, kterou počátkem týdne odhalila Mozilla.

Internet Explorer obsahuje skriptovací modul, který zajišťuje provádění skriptovacích jazyků, jako jsou VBScript a JScript. Komponenta skriptovacího jádra JScript obsahuje chybu zabezpečení, spočívající ve způsobu práce s pamětí. K útoku přes tuto chybu lze použít libovolnou aplikaci, která podporuje zpracování kódu Internet Explorerem.

Na záplatu musíme počkat

Praktické použití je poměrně prosté – stačí přesvědčit uživatele, aby otevřel škodlivý dokument HTML (např. webovou stránku, e-mailovou přílohu), soubor PDF, dokument Microsoft Office nebo jakýkoli jiný typ souboru, který podporuje zpracování obsahu skriptovacím jádrem IE. Následně může útočník provést libovolný kód.

Ve výchozím nastavení Internet Explorer verze 9, 10 a 11 používá knihovnu Jscript9.dll, která není touto chybou ovlivněna. Uvedený nedostatek se týká pouze určitých webů, jež používají skriptovací modul jscript.dll.

Společnosti Microsoft ani Mozilla neuvedly, jak konkrétně útočníci chybu zneužívají, odkud jsou a na jaké cíle směřovali svůj útok. Microsoft bezpečnostní nedostatek eviduje jako CVE-2020-0674, nicméně v tuto chvíli neuvádí žádné konkrétní podrobnosti.

Diskuze (13) Další článek: Návrat Boeingů 737 Max na oblohu se odkládá – v softwaru letadla byla objevena další chyba

Témata článku: , , , , , , , , , , , , , , , , , , , , , ,