Корпорация Microsoft объявила о выпуске очередного кумулятивного патча для Internet Explorer, который закрывает все ранее обнаруженные уязвимости, в том числе недавно обнаруженную дыру в версиях 5.5 и 6.0.
Независимыми экспертами опасность новой дыры оценивается как довольно высокая, поскольку с ее помощью злоумышленник может изменять файлы на компьютере жертвы, форматировать диски и загружать с него любые данные. В то же время представители Microsoft полагают, что хакер, использующий дыру, может лишь читать файлы на компьютере жертвы, но ни в коем случае не модифицировать. Отформатировать на пораженной машине диск также не получится. Объясняется это тем, что при использовании дыры можно запускать исполняемые файлы без указания дополнительных параметров. А для форматирования диска в любом случае требуется указать его имя.
Уязвимость связана с тем, что проверка безопасности, осуществляемая при выполнении некоторых функций кэширования объектов, не завершается. В результате, узел, находящийся в одном домене, может получить доступ к информации на узле в другом домене, в том числе и на том компьютере, где работает Internet Explorer. Таким образом, злоумышленник может читать файлы на компьютере жертвы и запускать исполняемые файлы, уже находящиеся на жестком диске.
Для того чтобы использовать уязвимость, злоумышленник должен создать веб-страницу, использующую кэширование объектов и
каким-то образом заманить на нее пользователя. Атака, осуществляемая с помощью оправки страницы в электронном письме, сработает только при условии применения почтового клиента Outlook 98 или 2000 без установленного обновления Outlook Email Security Update. Браузер IE 5.01 вообще не содержит дыры.
Патч можно скачать
" с сайта Microsoft.
" © proext.com