Útok typu „watering hole“

Čert a hacker nikdy nespí, to je dávno empiricky ověřený fakt. A aby dosáhl svého, mění svoji taktiku. V IE verze 8 a menší je díra, která umožní útočníkovi zneužít aplikaci pro spuštění vlastního kódu na Vašem počítači. A aby si ulehčil hledání vhodných obětí, použil k tomu taktiku, jakou běžně používají smečky lvů v období sucha. Místo shánění kořisti po širých vyprahlých pláních se rozloží do stínů poblíž napajedla a počkají, až k nim jejich kořist, hnaná žízní, sama připutuje.
 Pro hackery v rámci této metafory jako napajedlo sloužily webové stránky organizace Council of Foreign Relations, tedy think-tanku pro zahraniční politiku USA. Podle reportu bezpečností společnosti FireEye tyto stránky ještě 21. prosince hostily nebezpečný malware, který útočil právě na výše uvedenou chybu prohlížeče Internet Explorer.

 
Kdy bude záplata?

Microsoft ve své tiskové zprávě uvádí, že na nápravě usilovně pracuje, nicméně neuvádí termín, kdy chybu opraví. Vzhledem k tomu, že mezi verzí 8 a následující verzí 9 je velký předěl ve zpětné kompatibilitě (například produkt HP Quality center ve verzi 9 a vyšší prostě nefunguje), existuje celá řada uživatelů, kteří musí prostě mít starou verzi IE. Těm doporučuje Microsoft vypnout Javascript a Flash až do vyřešení problému. Já osobně doporučuji přejít na jiný prohlížeč (ne výběr je celá řada, například  Firefiox nebo Chrome) a Internet Explorer používat pouze v nejnutnější možné míře a to výhradně na bezpečné stránky.
 Pro úplnost dodávám, že výše zmiňovaná chyba ve verzi 9 a vyšší je opravena, pokud se tedy chcete držet IE, proveďte co nejdříve upgrade na novější verzi.

Zdroj a další informace: https://phys.org/news/2013-01-microsoft-busy-hole.html