Négy nulladik napi sebezhetőséget hozott nyilvánosságra a HP Zero Day Initiative (ZDI). A szervezet, amely a nulladik napi sebezhetőségek feltárására helyezi a hangsúlyt, a mobilos Internet Explorerben találta a hibákat.

A ZDI szabályzata szigorú, és a cég többé-kevésbé ragaszkodik is hozzá: a felfedezett hibákról értesíti az érintett cégeket, és 120 napot ad azok kijavítására, utána pedig nyilvánosságra hozza a hibák leírását. Most a Microsofton csattant a szervezet ostora, bár végső soron a felhasználóknak lesz nehezebb az élete.

Már tavaly ősszel megtalálták

A négy hiba közül egyet a tavaly novemberi HP Mobile Pwn2Own versenyen találtak meg. A dolog érdekessége, hogy bár a Windows Phone-os Lumia 1520-hoz kapcsolódó eredeti feladatot Nicolas Joly kutatónak nem sikerült megoldania, annyi eredménye volt a próbálkozásának, hogy egy a HTML táblák kezelésével kapcsolatos hibát sikerült felfedeznie. A hiba kihasználáshoz a felhasználót egy ártalmas weboldalra vagy egy speciálisan szerkesztett HTML fájl megnyitására kell rávenni.

Idén januárban pedig a CCurrentStyle, a CAttrArray és a CtreePos objektumokat érintő hibát fedeztek fel, melyek a memóriakezelésben okozhatnak olyan rendellenességeket, amelyeket kihasználva a támadok tetszőleges kódokat futtathatnak a megtámadott rendszereken.

A Microsoft kérte a ZDI-t, hogy hosszabbítsa meg a javításra adott időt, a már július 19-re kitolt határidőt sem sikerült tartaniuk. Ezért a ZDI a nyilvánosságra hozás mellett döntött, de természetesen javítási javaslatokat is adott a felhasználóknak. Egyelőre csak annyit, hogy a felhasználók használjanak olyan konfigurációt, amely letiltja a hibásan működő részeket.

A legjobb nem használni

De mint arra a Qualys biztonsági cég technológiai igazgatója, Wolfgang Kandek felhívta a figyelmet, egyelőre az egyetlen igazán hatékony védelem az, ha a Windows Phone-os mobilok tulajdonosai nem használják az Internet Explorert. Annak ellenére érdmes hanyagolni, hogy Kandek a SecurityWeeknek azt állította, a csak a mobil változatot érintő hibákra még nem készültek exploitok.

A négy hibából egy a desktop Internet Explorerreket is érinti (az IE6-tól a 11-esig az összes változatot), ám ahhoz a Microsoft már kiadta a hibajavítást is. A hiba azonosítója a ZDI terminológiájában ZDI-15-359, amihez a Microsoft MS14-037-es számú javítása tartozik.