ช่องโหว่ Zero-Day ที่สำคัญเปิดรูใน IE 6 และ 7

ทั้งไซแมนเทค และ Vupen Security ได้โพสต์การแจ้งเตือนเกี่ยวกับข้อบกพร่องซึ่งเกี่ยวข้องกับวิธีที่ IE จัดการกับสไตล์ชีตแบบเรียงซ้อนหรือ CSS ตามโพสต์การเรียกดูเว็บไซต์ที่มีรหัสการโจมตีแบบฝังจะทำให้เกิดการโจมตี ไซต์อาจเป็นไซต์ที่สร้างขึ้นโดยเฉพาะหรือเป็นไซต์ที่ถูกแย่งชิงและมีการแทรกโค้ดโจมตี

ตามโพสต์ของ Vupen ข้อบกพร่องนี้มีผลต่อทั้ง IE 6 และ 7 ในเครื่อง XP SP3 ที่มีการติดตั้งอย่างเต็มที่และสามารถทำงานได้ คำสั่งใด ๆ ในระบบที่มีช่องโหว่เช่นการติดตั้งมัลแวร์ ยังไม่มีรายงานการโจมตีที่ใช้งานอยู่ แต่ใช้ประโยชน์จากรหัสนี้ต่อสาธารณชนได้

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

โพสต์ของ Symantec กล่าวว่าการทดสอบยืนยันการใช้ประโยชน์จากการเผยแพร่ "แสดงสัญญาณของความน่าเชื่อถือต่ำ" กล่าวคือ ไม่ทำงาน อีเมลเพิ่มเติมจาก Symantec กล่าวว่า Vista ได้รับผลกระทบด้วยเช่นกัน แต่ Microsoft ยังไม่ได้ยืนยันช่องโหว่นี้

Zero-days ที่มีผลต่อ IE เป็นภัยคุกคามหลัก ๆ ดังนั้นผู้โจมตีอาจจะเริ่มซ่อนการโจมตีที่กำหนดเป้าหมายข้อบกพร่องนี้ไว้ เว็บไซต์ที่ถูกบุกรุกและเขียนอีเมลและความคิดเห็นออนไลน์ที่มีลิงก์ไปยังไซต์ที่มีการโจมตี

ตาม Vupen การปิดใช้งานการเขียนสคริปต์ที่ใช้งานในอินเทอร์เน็ตและโซนความปลอดภัยภายในของอินทราเน็ตจะขัดขวางการโจมตีต่อข้อบกพร่องนี้ แต่การทำเช่นนั้นจะ อาจปิดกั้นการทำงานของเว็บไซต์ด้วย รายงานปัจจุบันไม่ได้ระบุว่า IE 8 เป็นช่องโหว่ แต่ Symantec เตือนว่า "มีความเป็นไปได้ที่ IE และ Windows รุ่นอื่นอาจได้รับผลกระทบด้วย" ไมโครซอฟท์ยืนยันว่าช่องโหว่ดังกล่าวมีผลต่อ IE 6 และ IE 7 แต่ไม่ใช่ IE 8 บริษัท กล่าวว่าขณะนี้ยังไม่ทราบถึงการโจมตีใด ๆ ที่มีอยู่กับข้อบกพร่องนี้และอาจตัดสินใจที่จะปล่อย patch แบบ out-of-band หลังจากเสร็จสิ้นการตรวจสอบแล้ว