 W piątek Microsoft ostrzegł o odkryciu poważnej luki wykorzystywanej przez hakerów. Błąd został znaleziony w obsłudze MHTML (MIME Encapsulation of Aggregate HTML).
Poprzez zachęcenie do klikania linków w sieci, haker przekierowuje osobę na specjalnie przygotowaną stronę wykorzystującą znaleziony błąd. Sama usterka dotyczy wszystkich systemów operacyjnych Windows i polega na błędnym przetwarzaniu uchwytów MHTML. MIME Encapsulation of Aggregate HTML jest to ustandaryzowany sposób upakowywania kodu HTML zgodnego z MIME. Na szczęście luka dotyczy pliku DLL, który wykorzystuje jedynie przeglądarka Internet Explorer.
Sam błąd jest dość poważny. Niestety pozwala na uzyskiwanie informacji o użytkowniku, na wyświetlanie określonych informacji przez przeglądarkę, a także na wykonywanie nieuprawnionych działań, w tym na szpiegowanie.
Jednak specjaliści uspakajają. Okazuje się bowiem, że wykorzystanie luki nie jest takie proste. Najpierw haker musi nakłonić do kliknięcia w link, a następnie uzyskać dane, co nie jest łatwe (np wymaga uruchomienia serwera).
Na tą chwilę Microsoft zaleca obejść problem wyłączając obsługę MHTML oraz blokowanie ActiveX wysokiego ryzyka. |
