Javítás nélküli biztonsági réseket tártak fel az Exploreren
Milkovits Gábor, 2005. július 22. 20:33
Michal Zalewski szoftverbiztonsági szakember több olyan komoly biztonsági rést talált az Internet Explorer jpeg képfájlokat kezelő alkalmazásán, amelyekre a Microsoft egyelőre nem adott ki javítófoltot.
Zalewski szerint az egyik általa felfedezett hiba alkalmas arra, hogy azt kihasználva a támadó saját víruskódját futtassa a fertőzött számítógépen. Az ilyen réseket általában kritikusnak minősítik a szoftverbiztonsággal foglalkozó cégek. A szakember négy speciálisan szerkesztett jpeg képet közzé is tett az interneten a hiba meglétének és kihasználhatóságának bizonyítására. Ezek mindegyike alkalmas a Service Pack 2-vel frissített IE 6-on, vagy a Microsoft-böngésző több korábbi verzióján keresztül a PC megtámadására, kettő közülük pedig működési hibákat okoz a memóriaegységnél és a processzornál is.
Zalewski egyébként a közzététel előtt szándékosan nem értesítette előre a Microsoftot a problémáról, amit a Neophasis biztonsági weboldalra eljuttatott közleményében meg is indokolt. A szoftverszakértő saját korábbi tapasztalataira hivatkozva azt állítja, hogy véleménye szerint a biztonsági problémák hivatalos bejelentése és megvitatása a Microsoft-tal feleslegesen hosszadalmas folyamat, amely túl sok terhet ró a kutatóra, így inkább az azonnali publikálást választotta. A Microsoft részéről azt közölték az üggyel kapcsolatban, hogy a közzétett információk alapján vizsgálják az Internet Explorer lehetséges új sebezhetőségeit, amelyeket kihasználó támadásokról mindezidáig nem érkezett hozzájuk bejelentés. A szóvivő emellett elítélte Zalewski eljárását, aki a szoftveróriás álláspontja szerint nem járt el felelősen, és sok felhasználót potenciális kockázatnak tett ki.