Во вторник компания Microsoft предупредила пользователей, что хакеры начали использовать критическую уязвимость Internet Explorer и выпустила временный пакет исправлений в ожидании пока не будет выпущено новое обновление системы безопасности.

Уязвимость Internet Explorer 6, 7, и 8 заключается в том, как браузер работает с каскадными таблицами стилей – она позволяет злоумышленникам производить кратковременные атаки путем завлечения жертв на сайты-ловушки. Эксплоит использует рекурсивные CSS страницы, в которые таблицы стилей включают свои собственные адреса.

Microsoft подтвердила ошибку в системе безопасности в конце декабря. Во вторник компания обновила предупреждение об опасности с целью подтвердить "сообщения об атаках, целью которых было использование уязвимости во всех актуальных версиях Internet Explorer".

Компания из Редмонда также опубликовала временный путь решение проблемы, следуя которому крупные организации могут защитить себя до издания полного обновления. Fixit-решение позволяет Internet Explorer не заходить на CSS страницы, которые содержат тот же адрес URL, что и таблица стилей, которая пытается её загрузить.

"Это изменение позволяет Internet Explorer не импортировать таблицу стилей, если она имеет тот же адрес URL, что и таблица стилей с которого он загружается", - пояснил Кевен Браун из Microsoft Security Response Center. "Проще говоря, решение проблемы заключается в том, что обновление проверяет, будет ли таблица стилей загружена рекурсивно и, если да, обновление препятствует загрузке этой таблицы стилей".

Чтобы обновление работало эффективно, необходимо, чтобы были установлены все существующие обновления системы безопасности, в особенности MS10-090, которое было издано 14 декабря. Временное исправление вызывает минимальное снижение показателей работоспособности – браузер при начале работы загружается на 150 милисекунд дольше – поэтому временное исправление должно быть удалено тогда, когда выйдет и будет установлено нужное и постоянное обновление системы безопасности. Дополнения, установленные в Internet Explorer и произведенные "третьими сторонами", должны быть тщательным образом протестированы перед установкой обновления.

Обновление было представлено в первый "Вторник Патчей" 2011 года. Также частью регулярного выпуска обновлений стали обновления для Windows Backup Manager и для Microsoft Data Access Components.

Это был один из самых небольших по количеству обновлений "Вторник Патчей" в истории, и он не решил многих существующих проблем, тем самым подвергая пользователей Microsoft риску. Одна из угроз позволяет атакующим дистанционно загружатьь вредоносный код для компьютеров, на которых установлены Windows: XP, Server 2003, Vista и Server 2008. Эксплоит доступен общественности. Еще одна угроза, открытая исследователем Google Михалом Залевски, ведет к системному сбою.