Google-fejlesztőtől szivárgott ki az Internet Explorer hibája

Az Internet Explorer böngészőt összeomlasztó, támadó kód futtatására alkalmas hibához jutottak hozzá kínai kiberbűnözők a Google biztonsági emberétől. Michal Zalewski szabadidejében fejlesztette ki azt a több browser tesztelésére alkalmas szoftvert, amivel rábukkant a hibára. A cross_fuzz nevű eszköz által megtalált több mint száz hiba dokumentációját egy szerveren tárolta Zalewski. Az adat egy óvatlan WebKit-fejlesztő miatt került nyilvánosságra, aki egy nyilvános oldalon belinkelte a dokumentumot, amit aztán a Google kereső is felvett az indexébe. Az eset nem csak azért kínos, mert egyaránt érintett benne a Google és a Microsoft, hanem mert a sebezhetőség Zalewski szerint nagyon jól kihasználható. Az esetleges támadó irányíthatja, hogy a böngésző összeomlása után mi történjen.

Zalewski gyanúja szerint a kínai IP-címről érkező látogatók már ismerhették az általa megtalált hibát, mert pontosan a két problémás funkció nevét írták be a Google-be. A sebezhetőség ismertté válása előtt ezekről a kódrészletekről nem voltak információk az interneten, ezért valószínűtlen, hogy véletlenül találtak volna rá az oldalra.

A Microsoft biztonsági csoportja vizsgálja a Zalewski által felfedezett hibát, és dolgozik annak kiderítésén, hogy a hibát kihasználhatják-e rosszindulatú hackerek - nyilatkozta a Registernek Jerry Bryant, a Microsoft szóvivője. Bryant szerint a szakemberek eddig nem találtak arra utaló jeleket, hogy a hibával visszaélnének a kiberbűnözők.