Microsoft tvrdí, že zraniteľnosť, ktorú použil výskumník Stephen Fewer na zneužitie Internet Explorera 8, už bola opravená vo verziách RC a RTM Internet Explorera 9.
Počas hackerskej výzvy CanSecWest Pwn2Own tu, Menej využilo tri rôzne zraniteľnosti preniknúť do IE 8 v systéme Windows 7 (SP1). Útok zahŕňal pôsobivý sandboxový únik v chránenom režime a priniesol spoločnosti Fewer peňažnú odmenu 15 000 dolárov a úplne nový laptop Sony.
Vo vyhlásení zverejnenom po súťaži Microsoft uviedol, že rýchlo zistil, že ide o vzdialený kód Problém s vykonaním nemá vplyv na jeho najnovší prehliadač, ktorého konečné vydanie je naplánované na budúci pondelok (marec 14, 2011).
[ POZRITE SI: IE8 na Windows 7 unesený s 3 chybami zabezpečenia ]
Menej povedal, že musel použiť tri rôzne zraniteľnosti, aby sa vyhol viacerým opatreniam proti zneužívaniu (ASLR, DEP a Protected Mode). Spoločnosť Microsoft potvrdila dve ďalšie chyby použité v Pwn2Own, ale neuviedla, či boli opravené aj v IE 9.
Spoločnosť uviedla, že oprava sa v súčasnosti testuje na vydanie na „nižšej úrovni“ verzií Internet Explorera.
Tu je vyhlásenie spoločnosti Microsoft:
Počas každoročnej súťaže Pwn2Own na CanSecWest sa Microsoft dozvedel o zraniteľnosti v Internet Exploreri 8. Spoločnosť Microsoft rýchlo zistila, že táto chyba zabezpečenia už bola vyriešená vo verziách RC a RTM prehliadača Internet Explorer 9. Aktualizácia sa pripravuje aj pre verzie Internet Explorera nižšej úrovne. Keďže táto chyba zabezpečenia neovplyvňuje IE9, spoločnosť Microsoft vyzýva zákazníkov, aby využili vylepšenia zabezpečenia, ktoré ponúka prehliadač, ktorý bude na web uvoľnený 14. marca.
Microsoft naďalej podporuje koordinované odhaľovanie zraniteľností ako najúčinnejšiu politiku na ochranu internetového ekosystému. Oceňujeme prax ZDI odhaľovať zraniteľnosti priamo dotknutým softvérovým spoločnostiam a príležitosť neustále zlepšovať bezpečnosť produktov spoločnosti Microsoft. Veríme, že výskum, ktorý vzíde z takýchto konferencií, je mimoriadne cenný; to je dôvod, prečo spoločnosť Microsoft sponzoruje toto a ďalšie výskumné podujatia po celom svete.
Spoločnosť Microsoft neuviedla, kedy bude vydaná oprava pre verzie IE 8 a nižšej úrovne.