Критическая ошибка в нулевом времени открывает дыры в IE 6 и 7

Недавно обнаруженная угроза, которая еще не имеет какого-либо патча, может позволить атаковать через Интернет с современными браузерами Internet Explorer 6 и 7, согласно данным компаний безопасности.

Оба Symantec и Vupen Security отправили оповещения об ошибке, которая связана с тем, как IE обрабатывает каскадные таблицы стилей или CSS. Согласно сообщениям, просмотр веб-сайта со встроенным кодом атаки вызовет нападение. Сайт может быть специально созданным вредоносным сайтом, или тот, который был взломан и был вставлен код атаки.

По словам Вупена, этот недостаток влияет на IE 6 и 7 на полностью исправленный компьютер с XP SP3 и может позволить работать любую команду в уязвимой системе, такую ​​как установка вредоносного ПО. Пока еще нет сообщений об активных атаках, но код эксплойта общедоступен.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Сообщение Symantec сообщает, что его тесты подтверждают опубликованные работы эксплойтов, но это он «проявляет признаки плохой надежности», т.е. это не всегда работает. Дополнительное электронное письмо от Symantec говорит о том, что Vista также затронута, но Microsoft еще не подтвердила эту уязвимость.

Zero-дни, которые влияют на IE, обычно являются серьезными угрозами, поэтому злоумышленники, скорее всего, начнут скрывать атаки, нацеленные на этот недостаток скомпрометированных веб-сайтов и извлечения электронных писем и онлайн-комментариев со ссылками на сайты, содержащие атак.

Согласно Вупену, отключение активных сценариев в зонах безопасности Интернета и локальной интрасети блокирует атаки на этот недостаток, но это будет вероятно, блокирует функциональность веб-сайта. Текущие отчеты не отображают IE 8 как уязвимые, но Symantec предупреждает, что «есть возможности, которые могут быть затронуты и другими версиями IE и Windows». Лучше всего использовать альтернативный браузер, например Firefox, до тех пор, пока не будет доступен патч.

Update (1:55 pm) : Microsoft подтвердила, что эта уязвимость влияет на IE 6 и IE 7, но не на IE 8. Компания заявляет, что в настоящее время она не знает о каких-либо существующих атаках на этот недостаток и может решить освободить внеполосный патч после завершения расследования.