Microsoft vydal včera večer mimořádnou aktualizaci, která řeší bezpečnostní zranitelnost Internet Exploreru, která byla objevena před pěti dny. Postiženy jsou všechny verze IE od verze 6. Fakt, že je bezpečnost produktů pro Microsoft prvořadým cílem, dokládá i to, že tato aktualizace je k dispozici i pro Windows XP – dekádu starý operační systém, kterému nedávno skončila několikrát prodlužovaná podpora. Zranitelnost se netýkala prohlížeče v kombinaci režimů x64 a Enhanced Protected Mode.
Další možností, jak se takovým útokům bránit, je nainstalovat Enhanced Mitigations Experience Toolkit (EMET). Ten zahrne Internet Explorer do bezpečnostních mechanismů operačního systému, jejichž IE není součástí kvůli zachování zpětné kompatibility. Některé programy, které využívají jádro IE, by prostě přestaly fungovat. Tento nástroj ve výchozím nastavení dokázal zablokovat exploit využívající objevenou zranitelnost. Nejnovější verze tohoto nástroje je EMET 5 Tech Preview Release 2.
Zranitelnost se týká knihovny vgx.dll, kterou linkuje mshtml.dll. Samotná oprava spočívala v opravě správy operační paměti.
Aktualizace je jednorázová a vyžaduje dubnovou kumulativní aktualizaci. Možná jste si všimli, že květnová kumulativní aktualizace nepůjde v případě Windows 8.1 nainstalovat bez aktualizace zvané Spring Update, nebo také Windwos 8.1 Update 1, zkrátka KB2919355. Bezpečnostní oprava však tuto aktualizaci nevyžaduje a bude to platit i pro případné další opravy v budoucnu až do konce srpna. Proto jsou vlastně bezpečnostní aktualizace dvě – KB2964358 a KB2964444.
Mohlo by vás také zajímat, proč trvá oprava zhruba týden, přestože doporučení, jak nebýt chybou ohrožen, je vydané prakticky okamžitě. Nejprve se zjišťuje, které verze Internet Exploreru a v jakých konfiguracích jsou ohrožené. Poté se zkouší využít zranitelnosti a provést útok, aby se pak mohlo testovat, jestli je oprava účinná ve všech ohrožených konfiguracích a jestli nezpůsobila nekompatibilitu v samotném systému, nebo v aplikacích třetích stran. K tomu má Microsoft specializovanou laboratoř.
Vyvstává také otázka, proč se Microsoft rozhodl v tomto případě opravit i Windows XP, když to není zrovna spravedlivé vůči všem, kteří používají Windows 7 nebo Windows 8.1. Nemalý vliv na toto rozhodnutí měl nepřesný buletin United States Department of Homeland Security, který nerozlišoval verze prohlížeče ani operačního systému a považoval zranitelnost všech verzí Internet Exploreru za trvalou. Objektivně se však uživatelé používáním jiného prohlížeče vystavují dlouhodobě vyššímu riziku.
Další informace se dočtete v bezpečnostního buletinu MS14-021.