Microsoft'tan ileri derecede kritik açık; resmi tavsiyeler

Geçtiğimiz hafta ortalarından beri tartışılan ve Secunia tarafından "ileri derecede kritik" olarak işaretlenen Microsoft Internet Explorer güvenlik açığı için Microsoft bir güvenlik tavsiyesi yayınladı.

Dinamik HTML (DHTML) metodlarından "createTextRange()" metodundaki bir hata sayesinde kurbanların bilgisayarlarında kurbanla eş düzey yetkiye sahip yerel kullanıcı olmaya hak kazanan hackerler, bunu sağlayabilmek için kurbanlarını özel hazırladıkları bir web sayfasına çekmek zorundalar. Bu sayfada yer alan bir reklam banneri veya daha farklı bir kaç yolla hackerlerin sonuca ulaşmaları mümkün. Yalnızca e-postaların görüntülenmesi ile olmasa da e-postalarda yer alan bir link ile bu tür sayfaların ziyaret edilmesi ya da e-posta ekinde yer alan bir dosya ile zararlı kodun çalıştırılması mümkün olabiliyor.

Güvenlik açığını düzeltecek yama üzerinde Microsoft halen çalışıyor. Microsoft'un güvenlik tavsiyesi bu aşamada yalnızca bazı geçici önlemler içeriyor. Microsoft Internet Explorer'in "Araçlar" sekmesinden ulaşabileceğiniz "Internet Seçenekleri", "Güvenlik" ayarlarında bazı değişiklikler öneriyor:
1. "Güvenlik" sekmesinde yer alan "Internet" ve "Yerel Intranet" için ayrı ayrı, güvenlik düzeyi "özel ayarlar"a geçilir. "Aktif Komut Dizileri", "sor" ya da "devre dışı" seçeneklerinden birine getirilir.
2. "Internet" ve "Yerel Intranet" ayarlarından güvenlik düzeyi "yüksek"e çıkarılır (eğer özel düzey tanımlanmış ise öncesinde "varsayılan"a getirilmesi gerekmektedir).

Yapılan değişiklikler bazı web sayfalarının düzgün çalışmasını engelleyebiliyor. Güvenli olduğundan emin olunan web sayfaları "Güvenilen Siteler"e eklenerek bu problem aşılabiliyor.

Güvenlik açığının IE7'nin en son beta sürümünü etkilemediği bildiriliyor.