Krytyczna luka w Internet Explorerze

Krytyczna luka w Internet Explorerze

Grzegorz Niemirowski
24.12.2010 14:22

W przeglądarce Internet Explorer wykryto groźną lukę umożliwiającą zdalne wykonanie kodu. Dostępny jest exploit pozwalający przeprowadzać ataki za pomocą tej dziury.

Podatne wersje przeglądarki to 6, 7 i 8. Luka wiąże się z alokowaniem nieinicjalizowanego obszaru pamięci, wykorzystywanego do obsługi CSS. Atakujący może wykorzystać ten fakt do wykonania dowolnego kodu w momencie odwiedzania odpowiednio spreparowanej witryny internetowej przez ofiarę. Zagrożenie byłoby pewnie niewielkie gdyby działały mechanizmy ASLR lub DEP. Niestety biblioteka mscorie.dll nie została skompilowana z przełącznikiem /DYNAMICBASE i jest ładowana pod przewidywalnym adresem w pamięci. Bardzo ułatwia to pisanie exploitu i skorzystali z tego twórcy projektu Metasploit udostępniając exploit na opisywaną dziurę. Na szczęście można włączyć losowanie adresu za pomocą narzędzia Enhanced Mitigation Experience Toolkit (EMET), które pozwalało zabezpieczyć się już przy kilku poprzednich lukach różnych aplikacjach.

Microsoft najprawdopodobniej wyda poprawkę usuwającą omawianą lukę. Sposoby ochrony, jakie można zastosować do tego czasu opisane są w poradniku bezpieczeństwa.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (291)