Gdyby zapytać o drugą najpopularniejszą przeglądarkę internetową na komputery, zapewne wiele osób wymieniłoby Edge, Firefoxa, Safari czy może nawet Operę i choć Microsoft liczy na to, że przejście na silnik Chromium pozwoli tej pierwszej na wyraźne zwiększenie swoich udziałów w tym rynku, to jednak nieśmiertelny Internet Explorer wciąż trzyma drugą pozycję w tym segmencie. Niestety przeglądarka ta ma długą historię problemów z bezpieczeństwem (co m.in. przyczyniło się do spadku popularności tego niegdyś najpopularniejszego narzędzia do surfowania po sieci), a właśnie odkryto kolejną niebezpieczną lukę w jej kodzie. John Page, specjalista od cyberbezpieczeństwa, ujawnił exploit XML eXternal Entity (XXE), który wykorzystuje pliki MHT (webowy format archiwów IE) obsługiwane przez przeglądarkę.
Odkryto lukę w Internet Explorer, która pozwala szpiegować użytkowników OS Microsoftu lub nawet wykradać im lokalne dane.
Głównym problemem jest tu fakt, że systemy operacyjne z rodziny Windows domyślne otwierają pliki MHT za pomocą Internet Explorera, a jako że ta niezałatana luka odkryta została w tej przeglądarce internetowej (która wciąż instalowana jest domyślnie na Windowsach ze względu na wsteczną kompatybilność), otwiera to drogę do przeprowadzania ataków przez hakerów, pozwalając im szpiegować użytkowników OS Microsoftu lub nawet wykradać im lokalne dane. O ile interakcja z plikiem MHT przeważnie wymaga działania użytkownika (np. kliknięcia w załącznik podesłany z e-mailu), to jednak możliwe jest wykorzystanie luki za pomocą komendy Javascript window.print(), która automatycznie będzie przeprowadzana przez zwykłe odwiedzenie złośliwej strony internetowej. Co więcej, otwierając specjalnie spreparowany plik .MHT, wykorzystujący tagi < xml >, użytkownik nie zostanie poinformowany o wykryciu zagrożenia.
Na chwilę obecną udało się ustalić, że luka zagraża przeglądarce w wersji Internet Explorer 11, która zainstalowana jest na systemach operacyjnych Windows 7, Windows 10 i Windows Server 2012 R1. Microsoft wydał już oświadczenie w tej sprawie, w którym zapewnia, że „rozważa naprawienie problemu w kolejnych wersjach tego produktu lub serwisu.” Co ciekawe jednak, producent dodał, że nie zamierza informować o kolejnych statusach przygotowywanej łatki i zamknął już tę sprawę. Taka odpowiedź wydaje się być mało satysfakcjonująca i sprawa powinna być priorytetem dla Microsoftu, który zdecydował się jedynie „rozważyć” wydanie łatki. Dlatego też, jeśli nie chcecie narażać się na ryzyko, czekając na ewentualną poprawkę firmy, to radzimy odinstalować Internet Explorera z systemu.
Pokaż / Dodaj komentarze do: Internet Explorer z poważną luką pozwalającą hakerom wykraść nasze pliki