Kritična Internet Explorer ranljivost (CSS 0-day)

Microsoft Internet Explorer vsebuje ranljivost, ki napadalcu omogoči podtikanje poljubne kode na tuj računalnik. Zaščitni mehanizmi operacijskega sistema DEP (Data Execution Prevention) in ASLR (Address Space Layout Randomization) ne preprečijo napada. Microsoftova komponenta za obravnavo HTML elementov (mshtml) vsebuje programsko napako, ki pri rekurzivnem uvozu CSS komponent izbriše programski objekt, a ga nato zopet uporabi. To omogoča podtikanje poljubne kode. Ranljivost se aktivno izrablja na internetu.

Ranljive verzije:

  • Internet Explorer 6, 7 in 8 na Windows XP, Vista in 7 operacijskih sistemih

Uporabnike se usmeri na spletno mesto, ki podtakne CSS elemente, preko katerih se izkoristi ranljivost.  Napadalec lahko z vdorom na popularno tuje spletno mesto podtakne povezavo na zlonamerno kodo. Ranljivost se lahko izkoristi z uporabo sporočil na družabnih omrežjih, ki vabijo k ogledu zanimive spletne strani ali posnetka.

Izrabi ranljivosti se lahko izognemo z uporabo Microsoftovega orodja EMET, ali uporabo drugega brskalnika (Chrome, Firefox, Safari, Opera) za čas, dokler Microsoft ne izda popravka, še pišejo na Arnesu.

Poglejte še:

Vir: Arnes – SI-CERT