5

Microsoft odmówił załatania błędu – Internet Explorer zagrożony

Zapomnieliście już o przeglądarce Internet Explorer? Jeżeli tak, to czas, by sobie na moment o niej przypomnieć. Oprogramowanie stało się bohaterem w naszej ocenie kuriozalnej sytuacji. Microsoft odmówił załatania błędu, który wystąpił w porzuconym przez niego produkcie.

Jeden z ekspertów ds. cyberbezpieczeństwa powiadomił Microsoft o tym, że w produkcie Internet Explorer znajduje się błąd, który pozwala na wykradanie danych z komputerów ofiar. Co istotne, podatność występuje nie tylko w Windows 7, ale również w Windows 10 i Windows Server 2012 R2. Microsoft, jak wskazaliśmy powyżej nie zdecydował się opublikować łatki mimo uzyskania informacji na ten temat wprost od jej odkrywcy.

Podatność wynika ze sposobu w jaki Internet Explorer przetwarza pliki MHT (MHT Web Archive) – za pomocą tego standardu wszystkie wersje przeglądarki zapisują strony internetowe na dysku, gdy użytkownik zdecyduje się na taką operację (na przykład poprzez polecenie CTRL+S). Nowe przeglądarki nie obsługują już tego formatu, w Internet Explorerze nie zdecydowano się go zmienić. John Page, odkrywca błędu wskazał, że możliwe jest wykorzystanie podatności XML External Entity, która ujawnia się, gdy użytkownik otwiera plik MHT. Za pomocą exploita możliwe jest wykradania danych z komputera ofiary.

Nie musisz korzystać z Internet Explorera, by złapać się w taką pułapkę

Nawet, jeżeli nie jesteście użytkownikami programu Internet Explorer, możecie paść ofiarą ataku związanego z wykazaną podatnością. Pliki MHT są domyślnie otwierane przez… starszą przeglądarkę Microsoftu i zasadniczo jedynym sposobem na to, aby uniknąć złośliwego działania jest pozbycie się tej przeglądarki.

Microsoft w kwestii tego błędu zachował się odrobinę… niespodziewanie. Wygląda na to, że gigant zwyczajnie nie przejął się podatnością w Internet Explorerze i postanowił ją zignorować. Według Microsoftu nie jest to szczególnie istotna usterka, a temat jej dotyczący został zamknięty. Oznacza to więc generalnie tyle, że nie jest planowana żadna łatka dla starszej przeglądarki – w kontekście wykazanego błędu.

Odkrywcy luki nie pozostało nic innego, jak opublikować informacje dotyczące tego błędu oraz udostępnić działającego exploita wraz z „proof of concept”. W serwisie YouTube można znaleźć materiał wideo, który zawiera w sobie cały proces ataku na przeglądarkę Internet Explorer. Odkrywca ma w tym momencie zupełnie czyste ręce i można powiedzieć, że zrobił absolutnie wszystko ku temu, aby Microsoft przyjrzał się sprawie i w miarę możliwości naprawił ten błąd.

Ciekawe co zrobi w tej sprawie Microsoft, któremu najpewniej nie jest na rękę to, że badacz opublikował informacje dotyczące możliwości eksploatowania błędu w przeglądarce Internet Explorer. Niewykluczone, że gigant pójdzie po rozum do głowy i zdecyduje się załatać potencjalnie niebezpieczną podatność.