A Microsoft tegnap kiadott egy biztonsági jelentést, mivel egy javítatlan (nulladik napi) sebezhetőségre derült fény, mely a cég böngészőjének, az Internet Explorernek az összes verziójában jelen van.

A távoli kódfuttatást lehetővé tevő, célzott támadásokra alkalmas memóriakorrupciós hibát az ismert biztonsági szakember, Buherator így írja le blogjában: „A támadók az mshtml.dll egy use-after-free hibáját használják ki tisztán JavaScriptből, igénybe véve egy ASLR-t nem támogató Office DLL-t, melyet az alábbi egysorossal töltetnek be: try { location.href = 'ms-help://' } catch (e) { }”

A Microsoft az ilyenkor szokásos eljárást követi: amíg nem adnak ki javítást a hibára, addig a biztonsági beállítások szigorítása mellett az átmeneti megoldást hozó „Fix it” telepítése a javasolt, ami némi korlátozással átmenetileg megvédhet a támadásokkal szemben. A tanácsadóban az is szerepel, hogy az EMET eszköz (Enhanced Mitigation Experience Toolkit) használata is nyújt bizonyos mértékű védelmet.

A cég még vizsgálja a hibát, így nem tudni, hogy olyan súlyúnak ítélik-e, hogy kiadjanak egy rendkívüli biztonsági frissítést, vagy pedig megvárják a jövő hónap második keddjét, és a szokásos update-tel érkezik a javítás.