Dodane: 2011-01-05 15:51:36 przez borg18

O luce w mechanizmie Graphics Rendering Engine mówiono podczas konferencji dotyczącej bezpieczeństwa IT w Korei Południowej jeszcze w połowie grudnia ubiegłego roku. Wczoraj Microsoft potwierdził jej występowanie w różnych wersjach Windowsa, publikując poradnik bezpieczeństwa.

Tradycyjnie już - zanim do tego doszło - moduł wykorzystujący wspomnianą lukę został dodany do Metasploita, pakietu narzędzi umożliwiających testowanie zabezpieczeń. Według Microsoftu nie odnotowano...

...dotąd żadnych ataków przy użyciu tej dziury. Jak wynika z informacji podawanych na stronie pomocy technicznej Microsoftu, błąd występuje we wszystkich wspieranych przez firmę wersjach systemu, z wyjątkiem najnowszych (Windows 7 i Windows Server 2008 R2).

Do jego wykorzystania może dojść podczas odwiedzin na specjalnie spreparowanej stronie internetowej lub w trakcie przeglądania katalogu z odpowiednio przygotowanym plikiem przy włączonym widoku miniatur (dotyczy plików.MICidokumentów pakietu Microsoft Office). Udany atak może skutkować zdalnym wykonaniem szkodliwego kodu.

Według giganta z Redmond błąd nie jest na tyle poważny, by zasługiwał na wydanie przedterminowej poprawki. Nie wiadomo też, czy korporacja zdąży przygotować łatkę na 11 stycznia, kiedy to zostanie wydany pierwszy w tym roku zestaw aktualizacji produktów Microsoftu. Warto mieć na uwadze, że na załatanie czeka jeszcze kilka groźnych dziur w Internet Explorerze - jedna,odkrytawgrudniu, dotyczy przetwarzania kaskadowych arkuszy stylów (CSS), pozostałe zostały znalezione jeszcze w lipcu ubiegłego roku przy użyciu narzędzia cross_fuzz opracowanego przez polskiego specjalistę Michała "lcamtufa" Zalewskiego.

Źródło: Dziennik internautów