Krytyczna luka w IE - Microsoft szykuje poprawkę
16 marca 2010 15:03, securitystandard
Przedstawiciele koncernu z Redmond przyznali, że od kilku dni intensywnie pracują nad poprawką dla Internet Explorera, której zadaniem będzie usunięcie z aplikacji wykrytego niedawno krytycznego błędu. Na razie nie wiadomo jednak, kiedy uaktualnienie to zostanie udostępnione.
Koncern nie podał żadnej przewidywanej daty opublikowania owej łaty - nie wiadomo więc, czy Microsoft zamierza udostępnić ją dopiero wraz z następnym pakietem poprawek dla Windows (tzn. w drugi wtorek kwietnia), czy może łata pojawi się wcześniej, poza standardowym cyklem. To ostatnie zdarza się co prawda rzadko - ale Microsoft w przeszłości już kilkakrotnie udostępniał podobne poprawki przed wyznaczonym terminem (szczególnie, gdy usuwany przez nie błąd był już wykorzystywany do atakowania użytkowników).
"Mamy świadomość, że wiele osób zastanawia się, kiedy dokładnie pojawi się ta poprawka. Ale na razie mogę tylko powiedzieć, że intensywnie pracujemy nad uaktualnieniem - właśnie zaczęliśmy je testować" - powiedział Jerry Bryant, przedstawiciel zespołu Microsoft Security Response Center (MSRC).
Pierwsze informacje o nowej luce w zabezpieczeniach IE pojawiły się na początku ubiegłego tygodnia - Microsoft oficjalnie przyznał, że zagrożone są dwie wersje przeglądarki Microsoftu - IE 6 i IE7 (IE 5.1 oraz IE8 nie są podatne na atak) i że błąd jest już wykorzystywany do atakowania użytkowników. Krótko później informacje te zostały potwierdzone przez autorów pakietu narzędzi hakerskich Metasploit (którzy poinformowali, że do Metasploit dodano już skutecznego exploita na nową lukę w Internet Explorerze).
Jerry Bryant, zapytany wprost o to, czy Microsoft zamierza udostępnić poprawkę poza standardowym cyklem, nie udzielił jasnej odpowiedzi - stwierdził jedynie, że jego firma nigdy nie wyklucza takiej możliwości i że w tym konkretnym przypadku wszystko zależy od wyników testów uaktualnienie. "Odpowiednie testowanie poprawności działania aktualizacji jest konieczne, ale też bardzo czasochłonne - musimy upewnić się, że poprawka działa bez zarzutu w każdej wersji IE i na każdej z dostępnych platform systemowych" - tłumaczy przedstawiciel koncernu.
Nie znaczy to jednak, że Microsoft nie zapewnił użytkownikom żadnej formy ochrony - firma udostępniła na swojej stronie automatyczne narzędzie "Fix it", za pomocą którego każdy użytkownik może bez problemu wyłączyć dziurawy komponent IE (czyli iepeers.dll). Dodajmy, że już wcześniej koncern z Redmond zasugerował użytkownikom inne rozwiązania - tzn. migrację do najnowszej wersji Internet Explorera (IE8) oraz włączenie w systemie mechanizmu DEP (Data execution prevention).
Opisywana powyżej luka to już drugi w tym roku krytyczny błąd w zabezpieczeniach IE. O pierwszym zrobiło się głośno w połowie stycznia, gdy okazało się, że nieznana wcześniej dziura w zabezpieczeniach przeglądarki Microsoftu została wykorzystana do zaatakowania systemów informatycznych kilkudziesięciu amerykańskich firm (w tym m.in. Google oraz Adobe). Wtedy błąd załatany został dość szybko - poprawka pojawiła się 21 stycznia (poza standardowym cyklem publikowania aktualizacji).
Więcej informacji znaleźć można w oficjalnym blogu Microsoft Security Response Center.
"Mamy świadomość, że wiele osób zastanawia się, kiedy dokładnie pojawi się ta poprawka. Ale na razie mogę tylko powiedzieć, że intensywnie pracujemy nad uaktualnieniem - właśnie zaczęliśmy je testować" - powiedział Jerry Bryant, przedstawiciel zespołu Microsoft Security Response Center (MSRC).
Pierwsze informacje o nowej luce w zabezpieczeniach IE pojawiły się na początku ubiegłego tygodnia - Microsoft oficjalnie przyznał, że zagrożone są dwie wersje przeglądarki Microsoftu - IE 6 i IE7 (IE 5.1 oraz IE8 nie są podatne na atak) i że błąd jest już wykorzystywany do atakowania użytkowników. Krótko później informacje te zostały potwierdzone przez autorów pakietu narzędzi hakerskich Metasploit (którzy poinformowali, że do Metasploit dodano już skutecznego exploita na nową lukę w Internet Explorerze).
Jerry Bryant, zapytany wprost o to, czy Microsoft zamierza udostępnić poprawkę poza standardowym cyklem, nie udzielił jasnej odpowiedzi - stwierdził jedynie, że jego firma nigdy nie wyklucza takiej możliwości i że w tym konkretnym przypadku wszystko zależy od wyników testów uaktualnienie. "Odpowiednie testowanie poprawności działania aktualizacji jest konieczne, ale też bardzo czasochłonne - musimy upewnić się, że poprawka działa bez zarzutu w każdej wersji IE i na każdej z dostępnych platform systemowych" - tłumaczy przedstawiciel koncernu.
Nie znaczy to jednak, że Microsoft nie zapewnił użytkownikom żadnej formy ochrony - firma udostępniła na swojej stronie automatyczne narzędzie "Fix it", za pomocą którego każdy użytkownik może bez problemu wyłączyć dziurawy komponent IE (czyli iepeers.dll). Dodajmy, że już wcześniej koncern z Redmond zasugerował użytkownikom inne rozwiązania - tzn. migrację do najnowszej wersji Internet Explorera (IE8) oraz włączenie w systemie mechanizmu DEP (Data execution prevention).
Opisywana powyżej luka to już drugi w tym roku krytyczny błąd w zabezpieczeniach IE. O pierwszym zrobiło się głośno w połowie stycznia, gdy okazało się, że nieznana wcześniej dziura w zabezpieczeniach przeglądarki Microsoftu została wykorzystana do zaatakowania systemów informatycznych kilkudziesięciu amerykańskich firm (w tym m.in. Google oraz Adobe). Wtedy błąd załatany został dość szybko - poprawka pojawiła się 21 stycznia (poza standardowym cyklem publikowania aktualizacji).
Więcej informacji znaleźć można w oficjalnym blogu Microsoft Security Response Center.
Komentarze (5)
- ~gość
- 2010-03-16 18:43:04
Mi się na Ubuntu Firefox sam aktualizuje, nawet nie wiem jaki mam. A na Oknach nie ma takiej funkcji? Dlaczego ludzie mają IE7 skoro jest IE8?
- ~phi
- 2010-03-16 19:20:28
Po wyrzuceniu iepeers.dll NIE DZIAŁA DRUKOWANIE z SAPa. A dziura zieje i eksploity są...
- ~rusineck
- 2010-03-16 20:01:46
Nie zapominajmy jednakowoż, że jest to produkt optymalny za całokształt ;)
- ~gość
- 2010-03-17 11:20:30
rusineck: no i dzięki takim jak ty, mity z dawnych lat są wiecznie żywe w świadomości linuksowca. Zamiast wiedzy (a nie wiary i dogmatów z czasów oszukanych studiów) i praktyki w biznesie tylko slogany i to ledwie na poziomie wiernych linuksowców.
- ~rusineck
- 2010-03-17 13:44:38
@Tad Po pierwsze nigdy nie studiowałem informatyki, więc nie jestem, jak to określasz, wierzącym linuksowcem. Moja wiedza wynika tylko i wyłącznie z praktyki. Daruj sobie zatem swoje przemądrzałe gadki, bo wychodzą bokiem.
reklama
Popularne produkty
Konsola MICROSOFT Xbox 360 Slim 250 GB
Konsola MICROSOFT Xbox 360 Slim 250 GB
w 73
sklepach od 699,00 zł
Konsola MICROSOFT Xbox 360 Slim 250 GB
Pobierz bezpłatnego e-booka 
Ebook 20 lat polskiej sieci to kompletna charakterystyka polskiego internetu (oraz polskiego internauty). Odpowiadamy na pytanie, jak wygląda nasz kraj na tle bliższych i dalszych europejskich sąsiadów pod względem popularyzacji szerokopasmowych łączy internetowych i rynku mobilnego. Wymieniamy również wady i zalety korzystania z bezpłatnych punktów dostępowych.
Kariera w IT 2012
Uczelnie, rynek pracy, rekrutacja, pracodawcy, rozwój zawodowy - czyli wszystko, co chcielibyście wiedzieć o pracy specjalistów IT w Polsce. Piszemy jakie uczelnie wybrać, dlaczego warto studiować informatykę i kierunki techniczne, jak wygląda proces rekrutacji i jak dobrze wypaść przed pracodawcą, opisujemy pracodawców - firmy IT - i możliwe ścieżki kariery.
Rekomendacje
reklama
Program miesiąca
reklama