Отправляет email-рассылки с помощью сервиса Sendsay

Oxygen3 24h-365d

  Все выпуски  

Если хочешь быть здоров - защищайся!


Информационный Канал Subscribe.Ru


Давай с тобой поговорим,   прости, не знаю, как зовут.
Но открывается другим    все то,  что близким берегут.
О. Митяев

- Критическое обновление Internet Explorer -

Oxygen3 24h-365d, Panda Software
www.pandasoftware.com www.viruslab.ru

Мадрид, 16 мая 2002 г. - Компания Microsoft выпустила заплатку (*) для латания
шести дыр в браузере Internet Explorer версий 5.01, 5.5 и 6.0. Обновление программы
разрешает ряд проблем, связанных с запуском вредоносных кодов на компьютере-жертве.
Если у Вас - одна из перечисленных версий браузера, не тяните с обновлением программы
 и установите заплатку как можно скорее.

Первая дыра является результатом использования сценариев перекрестного скриптования
 на веб-страницах и затрагивает те HTML страницы, которые Internet Explorer устанавливает
по умолчанию и которые запускаются в Локальной компьютерной зоне (Local Computer
zone). Злоумышленник может построить веб-страницу, размещенную на сервере или
отправленную по электронной почте, которая при открытии импортирует скрипт, запускающийся
в Локальной компьютерной зоне (Local Computer zone).

Вторая дыра происходит от объекта, поддерживающего CSS файлы, благодаря которому
могут создаваться веб-страницы или HTML-сообщения, открывающие доступ к системным
файлам пользователя. Злоумышленнику остается узнать точное местоположение файлов,
и он сможет  просматривать их.

Третья дыра позволяет злоумышленнику создавать cookie, содержащие скрипт для
чтения и изменения cookie других сайтов. Как и в прошлом случае, необходимо лишь
знать точное имя файла cookie, хранящегося в системе пользователя.

Четвертая проблема, которую разрешает данная заплатка от Microsoft, связана с
Зонами безопасности в Internet Explorer ("Местная " ("Intranet") и "Надежные
узлы" ("Trusted Sites")). Эти зоны не имеют жестких ограничений и допускают возможность
загрузки страниц с опасных веб-сайтов, создавая при этом потенциальную угрозу
всей системе.

Последние две дыры представляют из себя разновидность  ранее уже разрешенной
проблемы, которая подвергает опасности систему пользователя при скачивании файлов
с намеренно испорченными заголовками Content-Disposition и Content-Type. Эти
дыры могут использоваться только при наличии специально установленных программ.

Microsoft также добавила некоторые улучшения в опцию Ограниченных сайтов, основанную
на блокировании фреймов. Теперь HTML письмо по умолчанию не будет открываться
автоматически в новом окне или запускать процесс скачивания исполняемых файлов.


Патч можно скачать по адресу:
http://www.microsoft.com/windows/ie/downloads/critical/Q321232/default.asp

(*) Подробную информацию об этих дырах и заплатках к ним можно получить на сайте
Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-023.asp

http://subscribe.ru/
E-mail: ask@subscribe.ru
Отписаться
Убрать рекламу

В избранное