Skumulowane łatki dla przeglądarki IE ogłoszone w biuletynie MS02-066, wydanym pod koniec listopada, ze statusem "ważne", zostały oznaczone jako "krytyczne".

Microsoft zakładał początkowo, że przepełnienie bufora w sytuacji, gdy otwarte są pliki PNG (Portable Network Graphics), może być wykorzystane jedynie do uszkodzenia IE, aplikacji Microsoft Office lub Microsoft Index Server. Jednak teraz firma uważa, że skutecznie wykorzystana usterka może umożliwić napastnikowi uzyskanie kontroli nad maszyną użytkownika.

Zobacz również:

• Facebook bez treści informacyjnych w Kanadzie
• Meta opracowała webową wersję usługi Imagine

Firma eEye Digital Security, która odkryła lukę związaną z PNG już wcześniej, zasugerowała, że usterki te powinny mieć wyższy stopień ryzyka, jako że pozwalają napastnikowi przejąć kontrole nad PC użytkownika. Jak widać Microsoft uwzględnił te sugestie podnosząc stopień oceny ryzyka .

Usterki związane z przepełnieniem bufora pozwalają generalnie na uzyskiwanie kontroli nad zaatakowaną maszyną. Atakujący wykorzystują niekontrolowane bufory w programie do ładowania swojego własnego kodu do systemu i uruchomienia go.

Poprzedni fakt podniesienia stopnia ryzyka związany był z usterką w mechanizmie ochronnym IE, odkrytą przez izraelską firmę GreyMagic Software.

Skumulowane poprawki zaanonsowane w biuletynie MS02-066 uwzględniają wszystkie łatki wydane dla IE 5.01, IE 5.5 i IE 6.0 oraz uszczelniają sześć nowych luk. W celu wykorzystania luki PNG, napastnik zwabia użytkownika na stronę webową ośrodka zawierającego celowo źle sformatowany plik PNG. Możliwy jest także atak za pośrednictwem poczty elektronicznej.

Łatka zapowiedziana w biuletynie MS02-066 eliminuje tę lukę. Jednak Microsoft zwraca uwagę, że użytkownicy nie powinni teraz instalować skumulowanych łatek, jako że zostały one zastąpione przez nowy zestaw. Najnowsza "superłata" dla IE, zawierająca wszystkie dotychczasowe łatki, została ogłoszona w biuletynie MS02-068.