A Microsoft elismerte, hogy 0day Internet Explorer sebezhetőséget kihasználva támadtak a Google-re
A Google a napokban jelentette be, hogy kifinomult és célzott támadást indítottak ellene, illetve körülbelül két tucat amerikai nagyvállalat ellen Kínából. Ezért a keresőóriás átértékelte Kínával kapcsolatos hozzáállását és bejelentette, hogy kész kivonulni az országból. A bejelentés nagy port kavart fel, még az Egyesült Államok külügyminisztere is megszólalt az ügyben, választ várva a kínai kormányzattól. A bejelentés után megindult a találgatás arról, hogy milyen hibákat használhattak ki a támadók. Felröppent a hír, hogy 0day Internet Explorer sebezhetőség lehetett a támadás egyik segítője. A Microsoft tegnap elismerte, hogy ez így van. Mike Reavey a Microsoft Security Response Center (MSRC) blogon a következőket írta: "Vizsgálataink alapján megállapítottuk, hogy az Internet Explorer volt az egyik vektor, amelyet felhasználtak a Google és feltehetően más vállalati hálózatok ellen indított célzott és kifinomult támadásokban. A Microsoft ma útmutatót adott ki, hogy segítse az ügyfeleket az Internet Explorer távoli kódfuttatásos sebezhetősége hatásának enyhítésében. Továbbá együttműködünk a Google-lel és más cégekkel, ahogy a hatóságokkal és más iparági partnerekkel is." Reavey megjegyzi, hogy a Microsoft nem látja, hogy a sebezhetőség széles körben érintené az ügyfeleket, inkább korlátozott és célzott támadások történnek az IE6 sebezhetőségét kihasználva. A fejlesztők dolgoznak a javításon és ha az átmegy a minőségellenőrzésen, akkor azt terjesztésre bocsátják. A helyzet komolyságát jelzi, hogy a blogbejegyzésben a megszokottaktól eltérően a Microsoft képviselője javasolja, hogy azok, akik érintettnek érzik magukat a támadásban, tegyék meg a megfelelő lépéseket a hatóságoknál. Az érintett, Egyesült Államok-beli ügyfeleknek javasolják a kapcsolatfelvételt az FBI helyi irodáival. A Microsoft tegnap kiadott egy biztonsági figyelmeztetőt is, amelyben látszólag az összes Windows operációs rendszer érintett a Windows 2000-ről a Windows 7-ig bezárólag. A nem érintett szoftverek közt egyedül a "Internet Explorer 5.01 Service Pack 4 for Microsoft Windows 2000 Service Pack 4" szerepelt. A blogbejegyzés itt olvasható.