На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2003-9-9 на главную / новости от 2003-9-9
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 9 сентября 2003 г.

Поправка для IE не работает?

Эксперты утверждают, что выпущенная Microsoft поправка для браузера Microsoft Internet Explorer не устраняет соответствующую уязвимость.

Патч, выпущенный Microsoft для исправления критической ошибки в браузере Internet Explorer, не работает, утверждают эксперты. Уязвимость «объектного типа» была обнаружена компанией eEye Digital Security около четырех месяцев назад. Патч вышел 20 августа, а 28 августа он был выпущен заново, так как в некоторых ситуациях вызывал проблемы с определенными конфигурациями операционной системы. Теперь, похоже, придется выпустить еще один вариант этой поправки. Дело в том, утверждает eEye, что она просто не устраняет уязвимость, для которой была предназначена.

Ошибку можно использовать, создав специальный HTML-файл, который во время его просмотра браузером переносит в машину жертвы и исполняет код злоумышленника.

По словам представителя Microsoft, компания изучает отчет eEye, однако от заказчиков не поступало никаких сигналов о том, что они пострадали от указанной в нем разновидности первоначальной уязвимости. Компания продолжает распространять оригинальный патч и рекомендует пользователям Internet Explorer установить его, если они еще не сделали этого.

Марк Мейфрет, главный программист eEye, утверждает, что данная уязвимость особенно опасна, так как реализовать ее довольно легко. «Это очень серьезно, ведь воспользоваться этим ничего не стоит... Для этого совсем не обязательно уметь писать эксплойты для ошибок переполнения буфера или нечто подобное», — говорит он.

Мейфрет считает, что Microsoft с самого начала нужно было отнестись к этой работе серьезнее. «Как можно четыре месяца исправлять такую простую ошибку и все равно ухитриться не сделать поправку как следует? — возмущается он. — Похоже, они всерьез взялись за безопасность... Впрочем, не думаю, что их усилия хорошо организованы». Одна из причин этого, по его словам, заключается в том, что в Microsoft недостаточно квалифицированных инженеров по безопасности. Ошибку, обнаруженную им в поправке, Мейфрет называет «досадной оплошностью»: «Там есть очень грамотные специалисты, но их, по-видимому, не хватает».

Об ошибке в поправке впервые сообщил сайт Malware.com, и Мейфрет не уверен, знала ли Microsoft о ней до публикации. Его команда исследовала патч перед выпуском и не обнаружила никаких проблем. Однако Мейфрет говорит, что это было не детальное изучение, а краткий осмотр. «Наши исследователи просто помогали; Microsoft не платила нам за это, — пояснил он. — Microsoft нанимает внешних экспертов по безопасности кода, которые в данном случае сработали не чисто».

Чтобы ослабить риск до момента, когда Microsoft исправит свой патч, пользователи могут заблокировать работу скриптов. 

 Предыдущие публикации:
2003-08-21   Windows будет устанавливать поправки автоматически?
2003-09-04   Пользователи Office подвергаются риску

 

← август 2003 3  4  5  8  9  10  11  12  15 октябрь 2003 →
Реклама!
 

 

Место для Вашей рекламы!