Vyjádření k aktuálně probírané chybě v IE

Update [21.1.2010, 19:26] : Fix je venku! Více informací naleznete v Microsoft Security Bulletin MS10-002 - Critical. Update [21.1.2010] : Podle všeho, by měla být záplata připravena k distribuci dnes kolem 19h. Nepočítal bych přímo se sedmou, přece jen chvíli trvá, než se vše prodistribuuje. Pokud by mělo dojít k nějakým změnám, dáme vědět. Update [21.1.2010] : Doporučuji se u nás zaregistrovat do "Security databáze" kontaktů na IT lidi ve firmách, kteří se IT bezpečností zabývají. V případě vážných ohrožení právě těmto lidem proaktivně zasíláme emailem všechny dostupné informace.

Update [19.1.2010, 23:40] : Bylo rozhodnuto, že bezpečnostní aktualizace půjde mimo běžný cyklus (tzv. "out-of-band"). Oficiální vyjádření naleznete zde a také doporučuji sledovat Security Bulletiny a Security Advisories (979352).

Update [19.1.2010] : zatím nic nenasvědčuje, že by se celá věc nějak vyvíjela, stále se pracuje na aktualizaci a zároveň nejsou známy žádné další zneužití... Přibyl pouze tento post na našem celosvětovém ofic. bezp. blogu (The Microsoft Security Response Center).

14. ledna jsme obdrželi upozornění na možnost zneužití Internet Exploreru, které v některých specifických případech umožňuje na dálku spustit na počítači uživatele škodlivý kód. Do současné doby bylo zaznamenáno jen několik útoků proti verzi Internet Explorer 6, které byly vedeny po navštívení infikovaných webových stránek.

Hned následující den po prvních testech jsme vydali doporučení, jak riziko minimalizovat. Těmito kroky jsou přechod na poslední verzi Internet Explorer 8 (IE8), nastavit zabezpečení Internet Exploreru na vysoký stupeň („High“), povolit tzv. DEP (Data Execution Prevention – v IE8 je toto nastavení automatické), a dále klasická doporučení, kterými jsou zapnutý firewall, aktuální antivirový program a mít nainstalované všechny bezpečnostní aktualizace. V současné chvíli se na opravě chyby pracuje.

V loňském roce proběhlo několik studií bezpečnosti webových prohlížečů (celou zprávu naleznete na adrese https://nsslabs.com/browser-security), ze kterých vyplynulo, že IE na tom zas tak špatně není :)

Další zdroje informací:

Microsoft Security Advisory (979352)
- https://www.microsoft.com/technet/security/advisory/979352.mspx

The Microsoft Security Response Center (MSRC)
- https://blogs.technet.com/msrc/archive/2010/01/14/security-advisory-979352.aspx
- https://blogs.technet.com/msrc/archive/2010/01/15/advisory-979352-updated.aspx

NSS labs
- https://nsslabs.com/browser-security

TechNet Blog
- https://blogs.technet.com/technetczsk/archive/2009/08/24/IE8-Internet-Explorer-testy.aspx

Internet Explorer blog
- https://blogs.technet.com/iecz/archive/2009/12/17/co-jsou-utoky-typu-phishing-a-jak-v-s-proti-nim-chrani-ie-8.aspx
- https://blogs.technet.com/iecz/archive/2010/01/10/jak-vas-internet-explorer-chrani-pred-utoky-skriptovani-mezi-weby-xss.aspx
- https://blogs.technet.com/iecz/archive/2009/11/30/8-tipu-pro-bezpecnejsi-nakupovani-online.aspx

Radim