شرکت مایکروسافت در هشدار امنیتی شماره 2794220 خبر از شناسایی یک نقطه ضعف در نسخه های قدیمی 6، 7 و 8 مرورگر IE داده است. نسخه های جدیدتر 9 و 10 فاقد این نقطه ضعف هستند. طبق اعلام مایکروسافت، گزارش هایی درباره سوء استفاده از این نقطه ضعف بر روی مرورگر IE8 دریافت شده است.
سوء استفاده موفق از این نقطه ضعف امنیتی می تواند دسترسی غیرمجاز را از راه دور به سیستم آسیب پذیر فراهم آورد. اختیارات این دسترسی غیرمجاز در حد کاربری خواهد بود که با مرورگر کار می کند.
نقطه ضعف شناسایی شده به نحوه دسترسی مرورگر IE به فضاهای خالی شده در حافظه ارتباط دارد. تحت شرایط خاص مرورگر IE می تواند باعث تخریب حافظه شده و در نتیجه امکان اجرای هرگونه دستور و برنامه مخربی را در حافظه فراهم کند.
معمولاً افراد خلافکار اقدام به راه اندازی سایت هایی می کنند که در آن شرایط لازم برای سوء استفاده از نقطه ضعف ایجاد شده و فقط کافیست که کاربر وسوسه شده و یا فریب خورده و به این سایت کشانده شود.
در سیستم های عامل Server 2003، Server 2008 و Server 2008 R2 مرورگر IE در حالت Restricted Mode اجرا می شود و شرایط امن تری را فراهم می کند. در این حالت، امکان سوء استفاده از این نقطه ضعف جد ید وجود ندارد.
همچنین در نرم افزارهای پست الکترونیکی Outlook و Outlook Express ایمیل هایی که دارای قالب HTML هستند در حالت Restricted Sites Zone باز می شوند و لذا در اینجا نیز امکان سوء استفاده موفق از این نقطه ضعف وجود ندارد. البته وجود پیوند (link)های مخرب در متن ایمیل ها همچنان می توانند کاربر را به سایت های مخرب هدایت کنند.
شرکت مایکروسافت اعلام نموده که در حال بررسی و تحقیق بیشتر بر روی این نقطه ضعف می باشد و به زودی راه حل مناسبی برای مقابله با آن ارائه خواهد نمود.
اطلاعات تکمیلی 12/10/1391
شرکت مایکروسافت اطلاعات به روز شده ای را در هشدار امنیتی شماره 2794220 ارائه کرده است.
شرکت مایکروسافت راه حل موقتی را برای این نقطه ضعف ارائه کرده است.