חברת האבטחה Secunia העלתה את דרגת החומרה של פרצות האבטחה
שגילתה בדפדפן אינטרנט אקספלורר של מיקרוסופט באוקטובר ל'חמורה במיוחד'. הפרצות מאפשרות לפורצים להשתלט על מחשבים באמצעות קוד זדוני המופעל ב-IE.
הכשלים המקוריים פורסמו ב-21 לדצמבר, אולם כעת גילתה החברה כי אין צורך בהתערבות המשתמש כדי לנצל את הפירצה, ולכן קבעה כי מדובר בסכנה גדולה יותר. מיקרוסופט טרם פירסמה עדכונים לפרצות, אולם מסרה כי היא עובדת על פיתוחם בימים אלה.
מדובר בשלוש פרצות אבטחה, שקיימות בכל גירסאות IE, ובמערכות Windows שונות, גם כאלה אשר בהן הותקנה Service Pack 2, חבילת עדכוני האבטחה של מיקרוסופט. הפרצות מאפשרות לתוקפים להריץ קוד זדוני באתר, ובאמצעותו להשתלט על מחשבי הגולשים, בתוך שהם עוקפים את ההגנות המובנות בתוכנה.
הפרצות הן מסוג Code Site/Zone Scripting, וקשורות לאפשרות ה-Drag and Drop (גרור והשלך) של רכיבים מקוונים, בהם שתול קוד זדוני, למחשב המקומי, ומתן גישה לפורץ להריץ את הקוד כאשר הוא מאוחסן בדיסק הקשיח של המשתמש. פירצה זו מחייבת התערבות של המשתמש, ו-SP2 כוללת חסימה עבורה.
פרצה נוספת מאפשרת הפעלת קובץ פקודות מיוחד, בפורמט hhk, במחשב המשתמש, שבאמצעותו יכול התוקף להריץ תוכנות שונות או להריץ קוד JavaScript גם ללא אישור או התערבות הגולש. פירצה זו עוקפת את החסימה המובנית ב-SP2. הפירצה השלישית מאפשרת אף היא להריץ קוד זדוני באופן עצמאי, ללא התערבות המשתמש, באתרים מסוימים, וגם היא עוקפת את החסימה שאמורה SP2 לספק.
להחליף דפדפן
החברה מציעה לגולשים לבצע בדיקה לדפדפן, באמצעות קוד ייעודי,
על מנת לברר אם המחשב שלהם פגיע. כמו כן, ממליצה Secunia למשתמשים לגלוש באמצעות דפדפן אחר, או לחילופין, לפעול על פי הנחיותיה של מיקרוסופט, שממליצה להעלות את רמת האבטחה של הדפדפן ל-High, לבטל את האישור להפעלת קוד Active X (אשר גורמת לשיבוש התצוגה של אתרים רבים ולכן אינה מומלצת), וכן לבטל את תכונת ה-Drag and drop or copy and paste files באינטרנט אקספלורר.
"לטעמי, אין זה הוגן כי מיקרוסופט, שיודעת על הפרצות כבר חודשיים, טרם פירסמה עדכון עבורן, במיוחד לאור העובדה שהן ידועות לכל אחד", אמר תומס קריסטנסן, מנהל הטכנולוגיה ב-Secunia, לאתר Cnet.
