Nie używaj F1 w Internet Explorerze

Microsoft ostrzega, że spreparowana witryna internetowa może podstępnie zachęcać użytkowników do wciśnięcia klawisza F1. Wtedy hakerzy mogą przejąć kontrolę nad komputerem, korzystając z niezałatanej dziury w systemie.

Jak się okazuje, błąd istnieje w stworzonym przez Microsoft języku VBScript i umożliwia atak na system użytkownika. Odkrył go Polak, Maurycy Prodeus. Według niego luka stwarza "średnie zagrożenie", bo do przejęcia kontroli nad komputerem niezbędna jest reakcja użytkownika - właśnie naciśnięcie właściwego klawisza.

Microsoft przyznał jednak, że hakerzy, którym uda się wykorzystać tę lukę, mogą przejąć pełną kontrolę nad komputerem ofiary. W dokumencie opisującym błąd stwierdzono, że jest on związany ze sposobem, w jaki VBScript wchodzi w interakcję z systemem pomocy Windows podczas korzystania z Internet Explorera.

Nie należy więc ulegać zachętom do skorzystania z klawisza F1, nawet jeśli okienko z takim wezwaniem będzie pojawiać się bez końca. Microsoft radzi, by takim wypadku użyć Menedżera zadań (wywołanego klawiszami Ctrl+Shift+Del) i "zabić" systemowy proces Internet Explorera.

Nowsze systemy Windows 7, Windows Server 2008 i Windows Vista nie są podatne na to zagrożenie. Natomiast według Microsoftu atak hakerów z wykorzystaniem błędu jest możliwy w systemach Windows 2000, Windows XP, a także Windows Server 2003, przy korzystaniu z Internet Explorera w wersji 6, 7 lub 8.

"Tymczasowo użytkownikom radzimy nie korzystać z klawisza F1" napisał na blogu David Ross, inżynier z centrum The Microsoft Security Response Center (MSRC).

Bardziej zaawansowanym użytkownikom Microsoft podaje procedurę, która pozwala zablokować system pomocy Windows. Jest ona opisana w tym miejscu (w języku angielskim). Koncern z Redmond nie podał kiedy opublikuje odpowiednią poprawkę dla swych systemów. Najbliższy planowy termin pojawienia się aktualizacji bezpieczeństwa to 9 marca.

Źródło: idg.pl