Microsoft o chybě v Internet Exploreru věděl

Microsoft přiznal, že věděl o chybě v Internet Exploreru, která byla zneužita při útocích proti Google a Adobe již od září minulého roku.

Chyba měla být opravena v příštím, únorovém, balíku záplat, ale kvůli útokům na americké společnosti byla vydána kritická záplata IE okamžitě.
Tato aktualizace je určena pro všechny verze Internet Exploreru ve všech verzích operačních systémů Windows a záplatuje minimálně osm popsaných bezpečnostních děr, které mohly vést ke spuštění škodlivého kódu.

Záplaty jsou zahrnuty v kritickém bulletinu MS10-002.

Chyby, zneužité během útoků, byly Microsoftu soukromě nahlášeny v srpnu zaměstnancem izraelské výzkumné společnosti BugSec, Meronem Sellenem. Programový manažer Microsoftu, Jerry Bryant, v září potvrdil závažnost chyby a vydání opravy naplánoval na příští měsíc, v rámci kumulativní aktualizace Internet Exploreru.

Chyba spočívá v možnosti vzdáleného spuštění kódu způsobem, jakým Internet Explorer přistupuje k objektům, které nebyly správně iniciovány nebo byly vymazány.

Útočník může chybu využít pomocí speciálně vytvořené webové stránky. Ve chvíli, kdy si uživatel prohlíží tuto stránku, může chyba umožnit vzdálené spuštění kódu. Útočník, který úspěšně zneužije tuto chybu by mohl získat stejná uživatelská práva, jako aktuálně přihlášený uživatel. Pokud by měl přihlášený uživatel administrátorská práva, pak by útočník, jemuž by se podařilo této chyby využít, získal úplnou kontrolu nad postiženým počítačem. Útočník by v takovém případě mohl instalovat programy, zobrazovat, měnit či mazat data nebo vytvořit nový uživatelský účet s úplnými právy.

I když Internet Explorer nepoužíváte, je pro uživatele Windows nezbytné tuto záplatu nainstalovat, protože tato chyba může být zneužita prostřednictvím prvků ActiveX u souborů Microsoft Access, Word, Excel nebo PowerPoint.