Давай с тобой поговорим, прости, не знаю, как зовут.
Но открывается другим все то, что близким берегут.
О. Митяев
- Критическое обновление Internet Explorer -
Oxygen3 24h-365d, Panda Software
www.pandasoftware.com www.viruslab.ru
Мадрид, 16 мая 2002 г. - Компания Microsoft выпустила заплатку (*) для латания
шести дыр в браузере Internet Explorer версий 5.01, 5.5 и 6.0. Обновление программы
разрешает ряд проблем, связанных с запуском вредоносных кодов на компьютере-жертве.
Если у Вас - одна из перечисленных версий браузера, не тяните с обновлением программы
и установите заплатку как можно скорее.
Первая дыра является результатом использования сценариев перекрестного скриптования
на веб-страницах и затрагивает те HTML страницы, которые Internet Explorer устанавливает
по умолчанию и которые запускаются в Локальной компьютерной зоне (Local Computer
zone). Злоумышленник может построить веб-страницу, размещенную на сервере или
отправленную по электронной почте, которая при открытии импортирует скрипт, запускающийся
в Локальной компьютерной зоне (Local Computer zone).
Вторая дыра происходит от объекта, поддерживающего CSS файлы, благодаря которому
могут создаваться веб-страницы или HTML-сообщения, открывающие доступ к системным
файлам пользователя. Злоумышленнику остается узнать точное местоположение файлов,
и он сможет просматривать их.
Третья дыра позволяет злоумышленнику создавать cookie, содержащие скрипт для
чтения и изменения cookie других сайтов. Как и в прошлом случае, необходимо лишь
знать точное имя файла cookie, хранящегося в системе пользователя.
Четвертая проблема, которую разрешает данная заплатка от Microsoft, связана с
Зонами безопасности в Internet Explorer ("Местная " ("Intranet") и "Надежные
узлы" ("Trusted Sites")). Эти зоны не имеют жестких ограничений и допускают возможность
загрузки страниц с опасных веб-сайтов, создавая при этом потенциальную угрозу
всей системе.
Последние две дыры представляют из себя разновидность ранее уже разрешенной
проблемы, которая подвергает опасности систему пользователя при скачивании файлов
с намеренно испорченными заголовками Content-Disposition и Content-Type. Эти
дыры могут использоваться только при наличии специально установленных программ.
Microsoft также добавила некоторые улучшения в опцию Ограниченных сайтов, основанную
на блокировании фреймов. Теперь HTML письмо по умолчанию не будет открываться
автоматически в новом окне или запускать процесс скачивания исполняемых файлов.
Патч можно скачать по адресу:
http://www.microsoft.com/windows/ie/downloads/critical/Q321232/default.asp
(*) Подробную информацию об этих дырах и заплатках к ним можно получить на сайте
Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-023.asp