Ερευνητές ασφάλειας έχουν εντοπίσει μια ακόμη ευπάθεια zero day στον Internet Εxplorer, η οποία θέτει τους χρήστες σε κίνδυνο, κάνοντας τους υπολογιστές τους ευάλωτους σε επιθέσεις.
Το κενό ασφάλειας ανακαλύφθηκε τον Οκτώβριο, στα πλαίσια του προγράμματος Zero Day Initiative (ZDΙ) της HP. Οι ερευνητές ενημέρωσαν την Microsoft σχετικά με το ζήτημα, όμως η εταιρεία δεν έχει κυκλοφορήσει ακόμη κάποιο patch.
Η συγκεκριμένη ευπάθεια επηρεάζει τον Internet Explorer 8 και στοχεύει τους χρήστες σχεδόν όλων των εκδόσεων των Windows, συμπεριλαμβανομένων των Windows XP.
Σύμφωνα με συμβουλευτική ανακοίνωση που εξέδωσε το ZDI, η ευπάθεια προκύπτει κατά τον χειρισμό αντικειμένων Cmarkup από τον browser, και μπορεί να επιτρέψει σε έναν εισβολέα να εκτελέσει με ευκολία αυθαίρετο κώδικα σε έναν υπολογιστή-στόχο.
Για την αξιοποίηση της ευπάθειας από hackers, ωστόσο, απαιτείται αλληλεπίδραση του χρήστη, ο οποίος θα πρέπει να ανοίξει ένα κακόβουλο αρχείο ή να προβάλλει μια ειδικά διαμορφωμένη ιστοσελίδα με τον ΙΕ.
Προς το παρόν, η Microsoft δεν έχει κυκλοφορήσει κάποια ενημέρωση για την αντιμετώπιση της ευπάθειας, αντ’ αυτού συνιστά στους χρήστες να λάβουν οι ίδιοι κάποια μέτρα για την ασφάλειά τους, αλλάζοντας τις ρυθμίσεις του browser τους:
Θέτοντας το Internet security zone στο επίπεδο “high” για να μπλοκάρουν τα ActiveX Controls and Active Scripting, εγκαθιστώντας το Enhanced Mitigation Experience Toolkit (EMET), το οποίο καθιστά την εκμετάλλευση των ευπαθειών δυσκολότερη, και ρυθμίζοντας τον ΙΕ, ώστε να ζητά άδεια πριν την εκτέλεση του ActiveScripting (ή ακόμη και απενεργοποιώντας το τελείως).