Microsoft прихлопнула еще шестерых клопов

В среду Microsoft объявила о том, что в браузере Internet Explorer обнаружено шесть новых ошибок, и призвала пользователей загрузить соответствующую поправку.

Три ошибки софтверный гигант называет критическими, но лишь одна из них — ошибка типа cross-site scripting, которая проявляется только в Internet Explorer 6.0, — позволяет хакерам или червям исполнять произвольные программы на атакуемом компьютере. «Две ошибки мы называем критическими из-за угрозы потери информации, — пояснил менеджер программы защиты Microsoft Кристофер Бадд (Christopher Budd). — Однако это обусловлено строгими требованиями».

Первая ошибка проявляется, когда браузер передает другому браузеру информацию, заключенную в гиперссылке. Воспользовавшись этим методом, называемым cross-site scripting, атакующий может заставить выполнить на компьютере указанную им программу. Для этого злоумышленник должен заманить пользователя на свою веб-страницу, где будет размещена специальная гиперссылка, или отправить ее по e-mail в формате HTML.

Две ошибки, грозящие пользователю потерей информации, связаны со способами работы IE с таблицами стилей и обработки cookies. В обоих случаях нужно знать точные имена файлов целевой системы, подлежащих атаке, — это уменьшает вероятность риска.

Пользователям Windows ХР система автоматически предложит установить апдейт, а пользователям других вариантов Windows нужно обратиться на сайт Windows Update. 2-Мбайт пакет содержит все старые поправки для Internet Explorer 5.01, 5.5 и 6.0 плюс заплатки для последних шести дыр. Кроме них, пакет содержит дополнительную новую «функцию», которая ограничивает параметры по умолчанию зоны Restricted Sites, блокируя любые фреймы.

Предыдущие публикации:

2002-02-26		Microsoft предупреждает о серьезных ошибках
2002-03-15		Баг open-source проник в код Microsoft
2002-04-01		Microsoft залатала IE, но ее проблемы не закончились

В продолжение темы:

2002-05-22		Червь Spida нападает на Microsoft SQL-серверы
2002-05-25		Microsoft предупреждает об ошибке в отладчике
2002-05-29		Дыра Гунинского в Microsoft Excel

Обсуждение и комментарии

	RoN - rodionlenta.ru 16 May 2002 6:14 PM
>> "Шесть новых ошибок" - Они что там, сами размножаются? Бажий террариум... :)

	nvn 16 May 2002 10:22 PM
Нет. Это удачная интеграция броузера в систему.

	гоблин 17 May 2002 7:24 AM
Плодитесь и размножайтесь гы-гы

	eXOR - billgmicrosoft.com 17 May 2002 9:21 AM
Обожаю Internet Exploit за такие вот вкусности :-).

	Skull - sibskullmail.ru 17 May 2002 11:00 AM
Щас PTO с Qrot придут, спрошу, что это - "Первая ошибка проявляется, когда браузер передает другому браузеру информацию, заключенную в гиперссылке. Воспользовавшись этим методом, называемым cross-site scripting, атакующий может заставить выполнить на компьютере указанную им программу." eXOR, у тебя _браузер_ другому браузеру что-нибудь передает? И по какому протоколу? Чует мое сердце, речь идет о банальном почтовом трояне.

	Qrot 17 May 2002 3:10 PM
2Skull: имеется ввиду активХ контрол, который используется в оутлуке при просмотре хтмл. при тыкании на ссылку в оутлуке открываетс ослик с таким же контролом, и между двумя контролами просиходит обмен ссылкой... тут типа собака и порылась. аналогично, видимо, бует проявляться и при команде "Open in new window..." на такую ссылку. 2eXOR: за последние время мозила продублировала 3 (вроде бы) ошибки ослика... я уже жду что и эта повторится. нет в жизни щастья..

	eXOR - billgmicrosoft.com 17 May 2002 4:15 PM
2 Qrot: Дыкть для нее пока что писать вирев не будут... :-). А там глядишь и че - нить придумаем :-).

	eXOR - billgmicrosoft.com 17 May 2002 4:17 PM
> у тебя _браузер_ другому браузеру что-нибудь передает? И по >какому протоколу? Ну межоконное взаимодействие я кое - как реализовал... а тут - то дело совсем в другом.

	Skull - sibskullmail.ru 18 May 2002 6:08 AM
2Qrot: нда, изврат ещё тот! Нафига браузер-то открывать?

	Qrot 18 May 2002 11:30 AM
2Skull: а почему бы и не открыть? я в почтовом клиенте текст письма дочитываю, а в браузере ссылку гляжу - удобно.

	Skull - sibskullmail.ru 18 May 2002 11:59 AM
2Qrot: ага. Значит почтовый клиент также является браузером, не так ли? Тык я из простого почтового клиента также могу ссылку открыть и посмотреть в браузере. :)

	Qrot 18 May 2002 12:12 PM
2Skull: ай, маладца! но не так. почтовый клиент хостит контрол браузера для показа хтмл. наверняка подобная же схема реализована в кде с KMail и конкверрором через KParts. разберись, как там это сделано, потом нам расскажешь :)

	glassy 19 May 2002 3:29 AM
не угадал :) Там его хостит не почтовый клиентб а кто-то совсем другой -- хостит и почтовый клиент и браузер :) (Этот кто-то имеет кучу предков, и все они кушать cpu time хотят :))))

	Skull - sibskullmail.ru 19 May 2002 11:29 AM
2Qrot: "подобная же схема реализована в кде с KMail и конкверрором через KParts" - а как ты догадался? Только в терминах немного запутался. KParts - внедряемые объекты. А KHTML - виджет, входящий в kdelibs. Но в принципе, KParts тоже могут быть показаны в почтовике. Но закономерен вопрос - нафига?

	Qrot 19 May 2002 1:24 PM
2Skull: так Kmail KHTML использует через KParts или просто как виджет?.. впрочем это без разницы, как именно - все равно при тыканьи на ссылку будет происходить обмен данными ссылки между KHTML в KMail и KHTML в Konqueror. 2glassy: гм.. ну и кто же хостит Оутлук? :)) ты путаешь дочернии окна и ActiveX controls

	Skull - sibskullmail.ru 20 May 2002 4:28 AM
2Qrot: Вы совершенно правы. В случае взаимодействия используется именно KParts.

	eXOR - billgmicrosoft.com 20 May 2002 3:07 PM
/me gigles :-).

	glassy 21 May 2002 3:53 AM
2Qrot -- ничего я не путаю

	Qrot 21 May 2002 11:41 AM
2glassy: ну и?

← апрель 2002

12 13 14 15 16 17 18 20 21

июнь 2002 →