Все новости от 8 июля 2004 г.

Обнаружен еще один дефект в Internet Explorer

В пятницу Microsoft выпустила исправление, закрывающее один из трех пробелов в защите браузера, которые в совокупности позволяли злоумышленникам проникнуть в компьютер. Однако в эти выходные была обнаружена еще одна лазейка, которую заплатка Microsoft не устраняет. «Они предпочли решить только часть проблемы, — говорит студент-компьютерщик из Нидерландов Елмер Куперус, опубликовавший излечивающий код. — Остальное, вероятно, оставили на потом».

Это уже третий случай в течение месяца, когда Microsoft приходится играть в догонялки с хакерами, обнародовавшими информацию о пробелах в защите Internet Explorer. В начале июня Куперус нашел веб-сайт, который использовал две неизвестные ранее уязвимости и одну недавно исправленную для установки на компьютеры жертв adware-программы. А на прошлой неделе была обнаружена менее опасная уязвимость, которую Microsoft исправила в ранних версиях браузера — но в более поздних версиях она появилась вновь.

Microsoft признала последнюю проблему и пообещала выпустить новые поправки в ближайшее время. «Компания работает над серией исправлений для Internet Explorer, которые выйдут в ближайшие недели и обеспечат заказчикам дополнительную защиту», — сказал CNET News.com представитель Microsoft. Кроме того, компания будет «продолжать изучать появляющиеся сообщения».

Последняя ошибка не является новостью — эксперты уже обсуждали эту проблему в январе, отмечает Куперус. Сначала ее посчитали незначительной, но это не так, потому что этот дефект можно использовать в сочетании с двумя другими, обнаруженными в начале июня. В совокупности все три пробела в защите обеспечивают простой доступ к Windows-компьютерам через браузер Internet Explorer.

«Большинство эксплойтов, которые встречаются сегодня, используют несколько уязвимостей, каждая из которых представляет собой дыру в какой-нибудь функции защиты Internet Explorer, — говорит Куперус. — По отдельности многие из этих проблем кажутся совершенно безвредными, но вместе они создают серьезный риск».

Как оригинальные, так и вновь обнаруженные дефекты относятся к библиотеке компонентов и средств поддержки сценариев ActiveX. Сначала был выявлен пробел в ADODB.Stream, а последняя ошибка кроется в компоненте Application.Shell.

Уязвимостей в IE становится так много, что некоторые эксперты рекомендуют перейти на альтернативные браузеры. Официальная организация при правительстве США Computer Emergency Response Team, ответственная за защиту от онлайновых угроз, в своих рекомендациях в качестве одного из шести пунктов тоже рекомендует администраторам по безопасности подумать о переходе на браузер не от Microsoft.

Microsoft советует пользователям наведываться за наиболее свежей информацией на свой сайт Protect Your PC. 

 Предыдущие публикации:

 В продолжение темы:

Обсуждение и комментарии

	Anti-MS 8 Jul 2004 11:52 PM
IE это один сплошной дефект ;)
	hrun 9 Jul 2004 12:14 AM
у меня босс на firefox пересел... Вот уж чего не ожидал :)
	LinFan 9 Jul 2004 11:48 AM
Да не совсем уж IE сплошной дефект. За что MS боролась, то и получает: атаки на IE - результат монополии. Дырок и в Мозилле и в Конквероре думаю достаточно, просто процент юзеров с этими браузерами небольшой. Так что юзайте альтернативу(Linux) и нет проблем ;)
	Anti-MS 9 Jul 2004 3:48 PM
2LinFan Нет ты ошибаешься. ие дефект потому что каждая уязвимость в нем становится фатальной для маздая. а в мозилле не просто меньше дырок (доказано статистически) но они еще и никогда не приводят к разсекьюриванию системы
	KSV 10 Jul 2004 7:39 AM
Мегакод, большой и громозкий в продуктах от M$ потихоньку выходит из под контроля...
	Илья 11 Jul 2004 8:49 AM
> Да не совсем уж IE сплошной дефект Вымя - вот большой дефект. Эти идиоты из некрософта доказывали в суде, что ИЕ - компонент их ОС, глубоко внедренный в систему. Так оно и есть - дыры браузера становятся дырами всей системы.