[ksoft] Microsoft устранила опасные дыры в Windows и Internet Explorer
Привет, All!
Корпорация Microsoft выпустила очередную порцию заплаток для своих
программных продуктов.
На этот раз больше всего дыр устранено в браузере Internet Explorer.
Как сообщается в бюллетене безопасности
http://www.microsoft.com/technet/security/Bulletin/MS05-054.mspx
MS05-054, одна из проблем связана с особенностями отображения
диалоговых окон, информирующих пользователя о загрузке файлов из Сети.
Для реализации нападения злоумышленнику необходимо создать специальную
веб-страницу и заманить на нее жертву. В случае успешной атаки на
удаленном компьютере может быть выполнен произвольный вредоносный код.
Еще одна ошибка в Internet Explorer предоставляет злоумышленнику
возможность получить адрес посещаемой пользователем страницы даже в
том случае, если применяется защищенное HTTPS-соединение. Ошибка,
возникающая при обработке определенных COM-объектов в процессе
просмотра ресурсов в интернете, может использоваться злоумышленниками
с целью получения несанкционированного доступа к удаленному ПК.
Наконец, еще одна дыра в Internet Explorer может быть задействована
через сформированные особым образом DOM-объекты (Document Object
Model). Результатом атаки может стать выполнение на машине
произвольного вредоносного кода. Уязвимости, охарактеризованные как
критически опасные, присутствуют в браузере IE версий 5.01, 5.5 и 6.0.
Помимо кумулятивного патча для Internet Explorer корпорация Microsoft
http://www.microsoft.com/technet/security/Bulletin/MS05-055.mspx
выпустила заплатку для дыры в операционной системе Windows 2000. Из-за
ошибки, возникающей в процессе обработки списка очереди APC
(Asynchronous Procedure Call), нападающий может повысить уровень своих
привилегий в системе. Правда, задействовать брешь удаленно невозможно,
в связи с чем она получила статус важной.
