Krytyczna luka w IE - Microsoft szykuje poprawkę

Przedstawiciele koncernu z Redmond przyznali, że od kilku dni intensywnie pracują nad poprawką dla Internet Explorera, której zadaniem będzie usunięcie z aplikacji wykrytego niedawno krytycznego błędu. Na razie nie wiadomo jednak, kiedy uaktualnienie to zostanie udostępnione.

Koncern nie podał żadnej przewidywanej daty opublikowania owej łaty - nie wiadomo więc, czy Microsoft zamierza udostępnić ją dopiero wraz z następnym pakietem poprawek dla Windows (tzn. w drugi wtorek kwietnia), czy może łata pojawi się wcześniej, poza standardowym cyklem. To ostatnie zdarza się co prawda rzadko - ale Microsoft w przeszłości już kilkakrotnie udostępniał podobne poprawki przed wyznaczonym terminem (szczególnie, gdy usuwany przez nie błąd był już wykorzystywany do atakowania użytkowników).

"Mamy świadomość, że wiele osób zastanawia się, kiedy dokładnie pojawi się ta poprawka. Ale na razie mogę tylko powiedzieć, że intensywnie pracujemy nad uaktualnieniem - właśnie zaczęliśmy je testować" - powiedział Jerry Bryant, przedstawiciel zespołu Microsoft Security Response Center (MSRC).

Pierwsze informacje o nowej luce w zabezpieczeniach IE pojawiły się na początku ubiegłego tygodnia - Microsoft oficjalnie przyznał, że zagrożone są dwie wersje przeglądarki Microsoftu - IE 6 i IE7 (IE 5.1 oraz IE8 nie są podatne na atak) i że błąd jest już wykorzystywany do atakowania użytkowników. Krótko później informacje te zostały potwierdzone przez autorów pakietu narzędzi hakerskich Metasploit (którzy poinformowali, że do Metasploit dodano już skutecznego exploita na nową lukę w Internet Explorerze).

Jerry Bryant, zapytany wprost o to, czy Microsoft zamierza udostępnić poprawkę poza standardowym cyklem, nie udzielił jasnej odpowiedzi - stwierdził jedynie, że jego firma nigdy nie wyklucza takiej możliwości i że w tym konkretnym przypadku wszystko zależy od wyników testów uaktualnienie. "Odpowiednie testowanie poprawności działania aktualizacji jest konieczne, ale też bardzo czasochłonne - musimy upewnić się, że poprawka działa bez zarzutu w każdej wersji IE i na każdej z dostępnych platform systemowych" - tłumaczy przedstawiciel koncernu.

Nie znaczy to jednak, że Microsoft nie zapewnił użytkownikom żadnej formy ochrony - firma udostępniła na swojej stronie automatyczne narzędzie "Fix it", za pomocą którego każdy użytkownik może bez problemu wyłączyć dziurawy komponent IE (czyli iepeers.dll). Dodajmy, że już wcześniej koncern z Redmond zasugerował użytkownikom inne rozwiązania - tzn. migrację do najnowszej wersji Internet Explorera (IE8) oraz włączenie w systemie mechanizmu DEP (Data execution prevention).

Opisywana powyżej luka to już drugi w tym roku krytyczny błąd w zabezpieczeniach IE. O pierwszym zrobiło się głośno w połowie stycznia, gdy okazało się, że nieznana wcześniej dziura w zabezpieczeniach przeglądarki Microsoftu została wykorzystana do zaatakowania systemów informatycznych kilkudziesięciu amerykańskich firm (w tym m.in. Google oraz Adobe). Wtedy błąd załatany został dość szybko - poprawka pojawiła się 21 stycznia (poza standardowym cyklem publikowania aktualizacji).

Więcej informacji znaleźć można w oficjalnym blogu Microsoft Security Response Center.