Microsoft wyda we wtorek krytyczną poprawkę dla przeglądarki Internet Explorer, łatającą dziesięć dziur w bezpieczeństwie.
Poprawka zostanie udostępniona w ramach biuletynu bezpieczeństwa MS10-018 a powodem jej wydania jest luka w Internet Explorerze 6 i 7 o której pisaliśmy przed trzema tygodniami. Aktualizacja będzie zawierać także łatki na dziewięć innych luk, które zostały zgłoszone do Microsoftu w ciągu ostatnich tygodni. Ich załatanie było planowane pierwotnie na 13 kwietnia. Luki te nie zostały upublicznione i nie są znane ataki przeprowadzane z ich wykorzystaniem. Część z łatanych dziur dotyczy IE8 tak więc aktualizacja jako całość jest przeznaczona dla Internet Explorera 6, 7, oraz 8. Aktualizacja ma zostać wydana ok. godziny 20 naszego czasu.
Na łamach The Windows Security Blog Microsoft nawiązał do obejścia zabezpieczeń Internet Explorera i Windows, w tym DEP i ASLR, podczas konkursu Pwn2Own. We wpisie broni swojego oprogramowania pisząc, że zastosowane techniki zabezpieczające nie mogą dać 100% ochrony i mają na celu jedynie spowolnienie ataku.
Warto też wspomnieć o raporcie w którym firma BeyondTrust przeanalizowała dziury w oprogramowaniu Microsoftu odkryte w 2009 roku. Przeanalizowano w nim wpływ pracy z niskimi uprawnieniami na rozmiar szkód jakie może wyrządzić atakujący wykorzystujący poszczególne luki. Wniosek z raportu okazał się łatwy do przewidzenia i jest zgodny z tym, co w świecie uniksowym zawsze było oczywiste: praca z uprawnieniami administratora systemu znacznie zwiększa zagrożenie i powinno się jej unikać. W świecie Windows zasada ta była do niedawna niezbyt popularna gdyż z jednej strony Microsoft mało dbał o bezpieczeństwo a z drugiej istniało mnóstwo niedbale napisanych programów, które bez powodu wymagały uprawnień administracyjnych. Raport stwierdza, że w przypadku 90% luk w Windows 7 zagrożenie może być ograniczone dzięki pracy na koncie o ograniczonych prawach. W przypadku Internet Explorera (wszystkie wersje łącznie) wskaźnik ten wynosi 94%. Natomiast dla IE8 oraz Office jest to 100%. Dla Windows (ogólnie) praca bez uprawnień administratora zwiększała bezpieczeństwo w 64% przypadków.
