MS, IE'de çok geç kaldı!

Google'ın sistemlerine girilmesine olana tanıyan Internet Explorer açığının, Microsoft tarafından 4 aydır bilindiği ortaya çıktı.

Microsoft'un geçtiğimiz günlerde yamadığı güvenlik açığı, Google'ın ve diğer önemli teknoloji şirketlerinin hacklendiği "Operation Aurora"da kullanılmıştı. Microsoft'un IE güncellemesiyle birlikte gelen notlara göre BugSec'ten Meron Selem, HTML Object Memory Corruption Vulnerability (CVE-2010-0249) raporunu sunarak Microsoft'u bu açığa karşı uyarmıştı.

BugSec'in bültenine göre bu uyarı 26 Ağustos'ta yapıldı. IE 6, 7 ve 8 sürümlerini etkileyen açık, en zayıf halka olan IE6 üzerinden, diğer sürümlere göre kolay bir biçimde kullanılabiliyor. Bu açık sayesinde kullanıcılar tuzaklı sitelere yönlendiriliyor. Tuzaklı sitelerde Hydraq arka kapı trojeni ve diğer zararlılar bilgisayara yükleniyor. Google saldırısında modifiyeli bir Hydraq kullanıldı.

Yazılım şirketlerinin bu tür açıklara karşı çözüm geliştirmesi aylar alabiliyor. Ancak bu açık, Microsoft için kötü sonuçlar doğuran açıklamalar zincirinde anahtar rol oynadı.