Zajlik a vita az IIS támadásokról

A biztonsági szakemberek pénteken még azt mondták, hogy azok a cégek sebezhetők, melyek nem alkalmazzák a Microsoft IIS 5.0 webkiszolgáló szoftverének javítóprogramját, miközben a Microsoft elismerte, hogy az IIS minap közzétett javítóprogramját és az Internet Explorert használó egyének is sebezhetőek, ha nem módosították a konfigurálást is. A támadások a Windows és az IE két sebezhetőségét használják ki, hogy észrevétlenül ártó kódot futtassanak a megtámadott webhelyeket felkereső gépeken, melyeket tovább irányítanak más, hackerek által ellenőrzött webhelyekre, ahol egy trójai programot töltetnek le a géppel, amely billentyűhasználati és személyes adatokat gyűjt.

Az egyik sebezhetőség az Outlook Express e-mail kliens kódjában található, amely lehetővé teszi, hogy az MHTML-kódolású tartalmakat megjelenítsék az olyan szoftver alkalmazások, mint a IE böngésző. Ezt a hibát a Microsoft már áprilisban kijavította, míg a másik hibát, az előző héten fölfedezett úgynevezett „zónaközi scipt” sebezhetőséget - ami becsapja az Internet Explorert, amely bizonytalan tartalmakat is letölt, mert úgy tekinti őket, mintha merevlemez fájlok vagy megbízható webhelyről származó kódok volnának.

A szakértők körében nagy a vita a támadás kiterjedéséről, és az érintettek számáról, ami érhető, ha a támadás újszerűségét tekintjük, vélekedik Chris Kraft, a Sophos vezető elemzője, aki szerint a támadás kivitelezése érdekes: „a hackerek elbitorolnak webhelyeket, melyeket az emberek megbízhatónak tartanak, majd kihasználják a böngésző sebezhetőségét, és egy sor utasítást töltetnek le a gépekre”. Ezek külön-külön ismert dolgok a szakértők előtt, de együttes használatuk új dolog.