Javítás nélküli biztonsági réseket tártak fel az Exploreren

Milkovits Gábor, 2005. július 22. 20:33
Michal Zalewski szoftverbiztonsági szakember több olyan komoly biztonsági rést talált az Internet Explorer jpeg képfájlokat kezelő alkalmazásán, amelyekre a Microsoft egyelőre nem adott ki javítófoltot.
Zalewski szerint az egyik általa felfedezett hiba alkalmas arra, hogy azt kihasználva a támadó saját víruskódját futtassa a fertőzött számítógépen. Az ilyen réseket általában kritikusnak minősítik a szoftverbiztonsággal foglalkozó cégek. A szakember négy speciálisan szerkesztett jpeg képet közzé is tett az interneten a hiba meglétének és kihasználhatóságának bizonyítására. Ezek mindegyike alkalmas a Service Pack 2-vel frissített IE 6-on, vagy a Microsoft-böngésző több korábbi verzióján keresztül a PC megtámadására, kettő közülük pedig működési hibákat okoz a memóriaegységnél és a processzornál is.

Zalewski egyébként a közzététel előtt szándékosan nem értesítette előre a Microsoftot a problémáról, amit a Neophasis biztonsági weboldalra eljuttatott közleményében meg is indokolt. A szoftverszakértő saját korábbi tapasztalataira hivatkozva azt állítja, hogy véleménye szerint a biztonsági problémák hivatalos bejelentése és megvitatása a Microsoft-tal feleslegesen hosszadalmas folyamat, amely túl sok terhet ró a kutatóra, így inkább az azonnali publikálást választotta. A Microsoft részéről azt közölték az üggyel kapcsolatban, hogy a közzétett információk alapján vizsgálják az Internet Explorer lehetséges új sebezhetőségeit, amelyeket kihasználó támadásokról mindezidáig nem érkezett hozzájuk bejelentés. A szóvivő emellett elítélte Zalewski eljárását, aki a szoftveróriás álláspontja szerint nem járt el felelősen, és sok felhasználót potenciális kockázatnak tett ki.

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Huszadik alkalommal adták át a Hégető Honorka-díjakat

2024. november 21. 16:58

Hosszabbít ’Az Év Honlapja’ pályázat!

2024. november 19. 09:54

Törj be a digitális élvonalba: Nevezz ’Az Év Honlapja’ pályázatra!

2024. november 14. 16:36

A virtuális valóság az egészségügyet is forradalmasíthatja

2024. november 12. 18:01