Microsoft нашла 10 "дыр" в IE
Корпорация Microsoft выпустила апрельское обновление, которое устраняет серьезные уязвимости в Windows, Office, Outlook Express и FrontPage Server Extensions.
В одном только Internet Explorer было устранено десять "дыр", многим из которых присвоен статус "критическая".
Первая проблема связана с уязвимостью в компоненте RDS.Dataspace ActiveX, который поставляется как часть ActiveX Data Objects (ADO) и включен в MDAC. Удаленный пользователь может с помощью специально написанного кода на веб-сайте выполнить произвольный код на компьютере жертвы. Другая критическая уязвимость проявляется в неправильной обработке Windows Explorer некоторых COM-объектов. Эти ошибки есть в большинстве существующих операционных систем Windows, в том числе и в Windows XP SP2 и Windows Server 2003 SP1.
Также Microsoft устранила критическую уязвимость в Internet Explorer CreateTextRange, которая две недели держала миллионы компьютеров беззащитными перед хакерами. С момента публикации 23 марта на хакерских веб-сайтах программы, эксплуатирующей ошибку CreateTextRange, в интернете, по подсчетам специалистов ряда компаний по ИТ-безопасности, появилось более 200 сайтов-ловушек. Напомним, что уязвимость в обработке языка сценариев JavaScript позволяет злоумышленнику незаметно выполнить произвольный код при посещении жертвой веб-страницы. Хотя несколько компаний выпустили свои заплатки, они не получили достаточного распространения, а Microsoft посоветовала не использовать патчи сторонних разработчиков и дождаться вторника.
Стоит отметить, что IE - самый популярный браузер в мире, то есть большинство компьютеров уязвимы. По данным на 13 апреля 2006 года, 64% интернетчиков в России используют IE.
Microsoft также исправила ошибку в почтовом клиенте Outlook Express версий 5.5 и 6.0. "Дыра" позволяет хакерам получить контроль над компьютером пользователя. Для этого необходимо вынудить пользователя открыть в приложении специально созданный файл адресной книги в формате WAB (Windows Address Book). Обработка такого файла спровоцирует ошибку переполнения буфера и последующий запуск вредоносного кода. "Дыра" получила статус важной.
Что касается уязвимости в программе FrontPage Server Extensions, то она теоретически обеспечивает возможность проведения XSS-атак (Cross-Site Scripting). Данная брешь представляет умеренную опасность и присутствует в пакете FrontPage Server Extensions 2002.
|