Nowe, groźne dziury w IE

Eksperci alarmują, że niektóre z nowych błędów już są wykorzystywane do atakowania komputerów - przykładem może być luka w zabezpieczeniach IE, umożliwiająca zamaskowanie właściwego adresu strony WWW lub błąd pozwalający na "zmuszenie" przeglądarki do uznania potencjalnie niebezpiecznego dokumentu html (np. strony WWW lub treści e-maila) za stronę "zaufaną" i wyświetlania jego zawartości bez żadnych zabezpieczeń.

Microsoft potwierdza

Rzecznik Microsoftu potwierdził te informacje i poinformował, że firma pracuje już nad uaktualnieniami, które umożliwią użytkownikom zabezpieczenie się przed atakami przeprowadzanymi z wykorzystaniem odkrytych właśnie błędów.

O nowych błędach w IE wiadomo było już od kilkunastu dni - dopiero niedawno zostały jednak one dokładnie rozpoznane i opisane. Co więcej, jak informuje CERT Polska, jedna z owych luk znana jest od sierpnia 2003 r. "Pozwala na dowolne operacje na plikach z poziomu HTML. Znajduje się w ona w kodzie odpowiadającym za obsługę obiektów adodb.stream i została uznana przez Microsoft za mało istotną, ponieważ pozwala na nadużycia jedynie w przypadku pobrania kodu ze strefy lokalnej. Problem w tym, że pozostałe, wcześniej nie znane luki pozwalają na pobranie kodu z zewnątrz, zapisanie go i wyświetlenie już z zasobów lokalnych." - czytamy w komunikacie CERT

Zobacz również:

  • Facebook bez treści informacyjnych w Kanadzie
  • Meta opracowała webową wersję usługi Imagine

Kolejny błąd został wykryty i opisany na liście NTBugtraq przez osobę podpisującą się jako Rafel Igvi. Umożliwia on zamaskowanie prawdziwego adresu strony WWW. Luka może zostać wykorzystana np. do stworzenia "podróbki" strony e-banku i wykradania danych jego klientów (mimo, że strona będzie fałszywa, użytkownik w polu adresowym będzie widział poprawny adres). Odnośniki do taki "fałszywych" stron mogą być rozsyłane e-maile lub umieszczane na stronach WWW.

Z kolei inny błąd ("cross zone scripting") umożliwia zmuszenie przeglądarki IE do uznania dowolnej strony WWW za stronę "zaufaną" - czyli taką, podczas wyświetlania której przeglądarka nie stosuje żadnych dodatkowych zabezpieczeń.

Atak połączony

Zdaniem ekspertów, największe zagrożenia dla użytkowników wiąże się z faktem, że opisane powyżej błędy mogą być wykorzystywane jednocześnie - tzn. użytkownik może zostać zwabiony na "znajomą" stronę WWW (jej prawdziwy adres będzie zamaskowany) i pobrać z niej niebezpieczną zawartość (np. wirusa czy konia trojańskiego), ponieważ dzięki błędowi 'cross zone scripting' strona ta zostanie uznana za "zaufaną".

Jak się zabezpieczyć?

Jako, że jak na razie Microsoft nie udostępnił patchy umożliwiających usunięcie z przeglądarki błędów, eksperci zalecają dwa rozwiązania - jednym jest zablokowanie wykonywania skryptów, w szczególności JavaScript, JScript oraz ActiveX. Drugą zalecanym (m.in. przez CERT Polska) rozwiązaniem jest używanie jednej z alternatywnych przeglądarek, np. Opery, czy Mozilli.

Jeśli użytkownik zamierza wciąż korzystać z Internet Explorera, może skorzystać z programu Qwik-Fix (dostępnego w wersji beta), automatycznie konfigurującego system Windows tak, by uniemożliwić nieautoryzowane uruchamianie niebezpiecznych funkcji. Należy jednak przygotować się na to, że zablokowanie obsługi skryptów w IE (niezależnie czy "ręczne", czy automatyczne") znacząco ograniczy funkcjonalność przeglądarki. Program ten znaleźć można tutaj:http://www.pivx.com/qwikfix/

Aby zablokować wykonywanie skryptów w IE, należy przejść do menu Zabezpieczenia (Narzędzia -> Opcje Internetowe -> Zabezpieczenia), wybrać polecenie "Poziom niestandardowy" i tam zaznaczyć pola "Wyłącz" przy nazwach podanych wyżej skryptów).

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200