0-day dla IE8: exploitów wciąż nie ma, ale po pół roku łatek od Microsoftu też nie widać

Oprogramowanie, które jeszcze kilka lat temu było dumąMicrosoftu, zalecaną użytkownikom jako najlepsze inajbezpieczniejsze, dziś jest dla firmy tylko niechcianym kłopotem.Jeśli wciąż korzystacie z tych czy innych powodów z InternetExplorera 8 (lub jego komponentów, zaszytych w Windows), wiedzcie,że od ponad pół roku znana jest luka pozwalająca zdalnieuruchomić na waszym komputerze złośliwy kod – i Microsoft do tejpory nic z nią nie zrobił.

W październiku zeszłego roku Peter 'corelanc0d3r' Van Eeckhoutteodkrył groźną lukę w Internet Explorerze 8. Błąd typuuse-after-free (odniesienie się do pamięci po tym, jak zostałauwolniona), związany ze sposobem obsługi obiektów CMarkup, pozwalanapastnikowi poprzez manipulację elementami dokumentu HTML za pomocąJavaScriptu doprowadzić do awarii, wskutek której uruchomi swójkod z uprawnieniami aktualnego procesu. Błąd został przekazany doZero Day Initative – programu, który nagradza badaczy zaodpowiedzialne odkrywanie luk w zabezpieczeniach oprogramowania.

Zgodnie z polityką ZDI, odkrycia takie zostają przekazaneproducentom. Jeśli w ciągu pół roku producent nie przygotujełatki, informacja o luce może zostać upubliczniona. Microsoftotrzymał zgłoszenie 11 października 2013 roku. Dopiero 10 lutego2014 ZDI otrzymało potwierdzenie, że błąd został odtworzony. 9kwietnia upływał standardowy okres łaski dla producenta –odpowiedzi od Microsoftu nie było. 8 maja ZDI wysłało doMicrosoftu wiadomość o tym, że zamierza upublicznić informację ozagrożeniu. Odpowiedzi od Microsoftu nie było. Dwa tygodnie późniejZDI finalnie publikuje informację o CVE-2014-1770,

Internet Explorer 8 jest ostatnią przeglądarką Microsoftudostępną dla Windows XP. Zakończenie wsparcia dla Windows XP nieoznacza jednak, że Microsoft może dać już sobie spokój zInternet Explorerem 8: przeglądarka ta dostarczana była też dlawciąż wspieranych systemów: Windows Vista, Windows 7 i WindowsServer 2008. Według Net Applications, w kwietniu tego roku z IE8 lubprzeglądarek będących nakładkami na IE8 korzystało ponad 20%internautów na całym świecie.

Choć ZDI określiło podatność jako 0-day, to trzeba pamiętać,że członkowie inicjatywy rozumieją to dość specyficznie. Zwykleprzez 0-day rozumie się luki, dla których exploity gotowe są jużw momencie publicznego wyjawienia informacji o nich. Van Eeckhouttetwierdzi jednak, że ostrzeżenie ZDI nie zawiera dość informacji,by napisanie za jego pomocą exploita możliwe było od ręki – aon sam na pewno nic o exploicie nie wie.

Niektóre serwisy internetowe doniosły, że Microsoft ogłosił,że błędu tego nie naprawi. Nie wiadomo, skąd pochodzi tainformacja: zgodnie z naszą wiedzą samo Redmond nie podjęłooficjalnej decyzji w tej sprawie. Zapewne wahanie może dotyczyćwydania poprawki dla niewspieranego już XP, natomiast trudnoprzypuszczać, by Redmond zdecydowało się zignorować lukę w IE8dla Windows 7 czy Windows Servera 2008. Trzeba pamiętać, że IE8 tonie tylko przeglądarka dla końcowego użytkownika, to też istotnykomponent systemowy, wykorzystywany przez wiele innych aplikacjiMicrosoftu.

Osobom, które poczuły się zagrożone przez CVE-2014-1770 radzisię zablokować kontrolki ActiveX, w ustawieniach strefy Internetwłączając wysoki poziom zabezpieczeń, wyłączyć ActiveScripting w strefie Internet i lokalnej, oraz zainstalować zestawnarzędzi rozszerzonego środowiska ograniczającego ryzyko (EMET) –według odkrywcy, uniemożliwia on atak.