выпустила комплексный патч для Internet Explorer версий 5 и 6, закрывающий недавно обнаруженные, а также все предыдущие дыры.
Из недавних одна признана опасной, а две - средней степени тяжести. Не все они были закрыты сразу же. Вместо этого компания всячески пыталась пресечь распространение информации о дырах в ее продуктах. Временные заплатки выходили с заметным опозданием.
Наиболее опасная уязвимость, обнаруженная в сентябре, допускает автоматическую загрузку и запуск выполняемого файла без всякого запроса. Для этого злоумышленник должен особым образом составить заголовок HTML-страницы, указав там URL вредоносной программы. Таким образом, на компьютере посетителя данной страницы можно сотворить все, что угодно. Уязвимость имеет место только для IE 6.0.
Вторая дыра, выявленная в декабре, позволяет излишне любопытному оператору веб-сайта считывать различную информацию с жесткого диска пользователя, не изменяя ее. Это происходит за счет одновременного открытия двух окон браузера. Первое – штатное, а второе открывает файлы на локальной машине. Информация из этих локальных файлов передается через браузер с загруженной веб-страницей на любопытствующий сайт. Действует для IE 5.5 и 6.0.
Третий баг, обнаруженный также в начале декабря, хоть и признан Microsoft умеренным, но для, мягко говоря, доверчивых пользователей может быть чрезвычайно опасен по возможным последствиям. Этот баг позволяет обманывать пользователя, показывая ему в строке загрузки файла совсем не те имена и расширения, которые имеет реально загружаемый файл. Таким образом, даже если человек осознает, что именно он хочет скачать, но не утруждает себя выбором надежного источника, ему легко можно подсунуть любую вредоносную программу под видом полезного файла.
Все ранее обнаруженные дыры IE 5.5 Service Pack 2 (SP2) и IE 6.0 (Gold) также закрываются данным патчем (Q313675).
Copyright © 2000-2002 Нетоскоп