Zdroj: TechCrunch
Minulý týždeň sme už informovali o chybe v prehliadači Firefox, ktorú našli výskumníci tímu Qihoo 360. Tento tím sídli v Číne a v tom istom čase oznámili podobnú chybu aj v Internet Exploreri. Zrejme to oznámili omylom a predčasne, lebo tweet o tom neskôr zmazali.
Odvčera 17.1.2020 už vieme podrobnosti, lebo US-CERT zverejnil informácie o chybe. Microsoft Internet Explorer obsahuje scripting engine, ktorý vykonáva VBScript alebo JScript skripty. V JScript časti je chyba, ktorá umožňuje vzdialenému a neprihlásenému útočníkovi spúšťať ľubovoľný kód.
Ak sa podarí útočníkovi presvedčiť obeť, aby otvorila špeciálne upravenú HTML stránku, PDF súbor, Office dokument alebo akýkoľvek dokument, ktorý potrebuje JScript scripting engine, tak môže spustiť ľubovoľný kód na počítači obete.
Načasovanie chyby v Microsoft Internet Exploreri je nešťastné pre používateľov Windows 7 hlavne vo firemnom prostredí. Windows 7 už nemá od 14.1.2020 podporu a bezpečnostné aktualizácie, ale veľa firiem ho má ešte stále nasadený a používa aj Microsoft Internet Explorer pre legacy aplikácie.
Chyba dostala označenie CVE-2020-0674 a jej oprava sa očakáva vo februári 2020. Ani v prípade chyby Firefox prehliadača a ani v prípade chyby Microsoft Internet Explorera nevieme kto zneužíva chyby a kto je cieľom ich útokov.
Obrázok: „Windows Internet Explorer logo stenciled on a brick wall“ by Wonderlane, used under Public domain
