Opis
Microsoft Internet Explorer vsebuje ranljivost, ki napadalcu omogoči podtikanje poljubne kode na tuj računalnik. Zaščitni mehanizmi operacijskega sistema DEP (Data Execution Prevention) in ASLR (Address Space Layout Randomization) ne preprečijo napada. Microsoftova komponenta za obravnavo HTML elementov (mshtml) vsebuje programsko napako, ki pri rekurzivnem uvozu CSS komponent izbriše programski objekt, a ga nato zopet uporabi. To omogoča podtikanje poljubne kode. Ranljivost se aktivno izrablja na internetu.
Ranljive verzije:
- Internet Explorer 6, 7 in 8 na Windows XP, Vista in 7 operacijskih sistemih
Metoda napada
Uporabnike se usmeri na spletno mesto, ki podtakne CSS elemente, preko katerih se izkoristi ranljivost. Napadalec lahko z vdorom na popularno tuje spletno mesto podtakne povezavo na zlonamerno kodo. Ranljivost se lahko izkoristi z uporabo sporočil na družabnih omrežjih, ki vabijo k ogledu zanimive spletne strani ali posnetka.
Rešitev
Uradnega popravka Microsoft še ni izdal. Izrabi ranljivosti se lahko izognemo z uporabo Microsoftovega orodja EMET, ali uporabo drugega brskalnika (Chrome, Firefox, Safari, Opera) za čas, dokler Microsoft ne izda popravka.