Négy nulladik napi sebezhetőséget hozott nyilvánosságra a HP Zero Day Initiative (ZDI). A szervezet, amely a nulladik napi sebezhetőségek feltárására helyezi a hangsúlyt, a mobilos Internet Explorerben találta a hibákat.
A ZDI szabályzata szigorú, és a cég többé-kevésbé ragaszkodik is hozzá: a felfedezett hibákról értesíti az érintett cégeket, és 120 napot ad azok kijavítására, utána pedig nyilvánosságra hozza a hibák leírását. Most a Microsofton csattant a szervezet ostora, bár végső soron a felhasználóknak lesz nehezebb az élete.
Már tavaly ősszel megtalálták
A négy hiba közül egyet a tavaly novemberi HP Mobile Pwn2Own versenyen találtak meg. A dolog érdekessége, hogy bár a Windows Phone-os Lumia 1520-hoz kapcsolódó eredeti feladatot Nicolas Joly kutatónak nem sikerült megoldania, annyi eredménye volt a próbálkozásának, hogy egy a HTML táblák kezelésével kapcsolatos hibát sikerült felfedeznie. A hiba kihasználáshoz a felhasználót egy ártalmas weboldalra vagy egy speciálisan szerkesztett HTML fájl megnyitására kell rávenni.
Idén januárban pedig a CCurrentStyle, a CAttrArray és a CtreePos objektumokat érintő hibát fedeztek fel, melyek a memóriakezelésben okozhatnak olyan rendellenességeket, amelyeket kihasználva a támadok tetszőleges kódokat futtathatnak a megtámadott rendszereken.
A Microsoft kérte a ZDI-t, hogy hosszabbítsa meg a javításra adott időt, a már július 19-re kitolt határidőt sem sikerült tartaniuk. Ezért a ZDI a nyilvánosságra hozás mellett döntött, de természetesen javítási javaslatokat is adott a felhasználóknak. Egyelőre csak annyit, hogy a felhasználók használjanak olyan konfigurációt, amely letiltja a hibásan működő részeket.
A legjobb nem használni
De mint arra a Qualys biztonsági cég technológiai igazgatója, Wolfgang Kandek felhívta a figyelmet, egyelőre az egyetlen igazán hatékony védelem az, ha a Windows Phone-os mobilok tulajdonosai nem használják az Internet Explorert. Annak ellenére érdmes hanyagolni, hogy Kandek a SecurityWeeknek azt állította, a csak a mobil változatot érintő hibákra még nem készültek exploitok.
A négy hibából egy a desktop Internet Explorerreket is érinti (az IE6-tól a 11-esig az összes változatot), ám ahhoz a Microsoft már kiadta a hibajavítást is. A hiba azonosítója a ZDI terminológiájában ZDI-15-359, amihez a Microsoft MS14-037-es számú javítása tartozik.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak