Δευτέρα 1 Μαρτίου 2010

Η Microsoft προειδοποιεί για κενό ασφαλείας στο Windows Help


H Microsoft κρούει τον κώδωνα του κινδύνου για ένα κενό ασφαλείας στο Windows Help, το οποίο μπορεί κάποιος να εκμεταλλευτεί μέσω της VBScript στον Internet Explorer και στα Windows XP. Οι χρήστες των Windows 7, Vista, Server 2008 και Server 2008 R2 δεν επηρεάζονται από αυτό το πρόβλημα. Το κενό ασφαλείας μπορεί να επιτρέψει την "εμφύτευση" και την εκτέλεση επιζήμιου κώδικα.

Για να μπορέσει ένας επιτιθέμενος να εκμεταλλευτεί το πρόβλημα, οδηγεί το θύμα του σε ένα κατάλληλα τροποποιημένο site και εκεί τον παρακινεί, μέσω ενός αναδυόμενου παραθύρου, να πατήσει το πλήκτρο F1 για να καλέσει τη λειτουργία βοήθειας των Windows. O Jerry Bryant, εκπρόσωπος της Microsoft διευκρίνισε ότι δεν έχει εμφανιστεί ακόμα κάποιο exploit που να εκμεταλλεύεται αυτό το κενό ασφαλείας.

Το κενό ασφαλείας γνωστοποιήθηκε την Παρασκευή από την εταιρεία ασφαλείας iSEC Security Research. Σε ένα advisory των ερευνητών ασφαλείας αναφέρεται ότι το εν λόγω πρόβλημα είναι γνωστό από το Φεβρουάριο του 2007.

"Μετά την ολοκλήρωση των ερευνών μας θα προβούμε σε όλα τα απαραίτητα βήματα ώστε να προστατέψουμε τους πελάτες μας ", γράφει ο Bryant στο Blog του Microsoft Security Response Center.

Προς το παρόν δεν υπάρχουν στοιχεία για το πότε θα κυκλοφορήσει το patch. Πάντως το επόμενο patch day της Microsoft έχει προγραμματιστεί για τις 9 Μαρτίου.

Δεν υπάρχουν σχόλια: