Вторая неофициальная заплатка для опасной дыры в IE

Еще одна компания выпустила патч, исправляющий серьезную ошибку в Internet Explorer, между тем эксперты предупреждают пользователей об опасности установки исправлений не от Microsoft.

В понедельник компания Determina, производитель систем для предотвращения вторжений, выпустила неофициальную поправку для веб-браузера Microsoft. А незадолго до этого временное решение проблемы предложила eEye Digital Security.

Оба патча защищают Windows-ПК от кибератак, использующих обнаруженную недавно уязвимость IE, еще не исправленную самой Microsoft. Производитель ПО не одобрил ни тот, ни другой, отметив, что Microsoft, как правило, не рекомендует устанавливать сторонние патчи.

Уже второй раз в этом году кто-то опережает Microsoft в исправлении ее ПО. В прошлый раз эксперты по безопасности одобрили патч, выпущенный европейским исследователем. Но теперь они не рекомендуют устанавливать неофициальные поправки. Вместо этого лучше следовать совету Microsoft и запретить функцию Active Scripting в IE или просто использовать другой веб-браузер.

«На этот раз мы не рекомендуем устанавливать эти временные патчи, — сказал директор по исследованиям SANS Institute Йоханнес Ульрих (Johannes Ullrich). — Только те, кому необходима функция Active Scripting в IE, могут подумать о применении неофициального решения».

Уязвимость относится к способу обработки браузером тега createTextRange() на веб-страницах. С тех пор, как ошибка была обнародована (а это произошло на прошлой неделе), обнаружено свыше 200 веб-сайтов, эксплуатирующих ее. Как правило, эти сайты устанавливают на уязвимые системы шпионское ПО, ПО дистанционного управления и «троянских коней», сообщила компания Websense.

Active Scripting, или ActiveX Scripting, используется для работы с «функционально насыщенными» веб-сайтами, способными исполнять небольшие приложения. Отключение этого компонента в IE может повлиять на отображение веб-сайтов браузером. Патчи eEye и Determina блокируют доступ к уязвимому компоненту IE 5 и 6, пытаясь помешать вредоносным веб-сайтам воспользоваться уязвимостью.

Microsoft сообщила, что она работает над исправлением ошибки. Обновление планируется выпустить 11 апреля, в соответствии с графиком ежемесячных исправлений Microsoft. Однако компания рассматривает возможность преждевременного выпуска.

Предыдущие публикации:

2006-03-28

Microsoft создает общедоступную базу данных багов IE

В продолжение темы:

2006-04-17

Компания предупреждает о проблемах патча для IE

Обсуждение и комментарии

	eXOR 29 Mar 2006 1:09 PM
Vista они отложили. Патчи они делать не успевают. Похоже что Российский менеджмент проник в MicroSoft и съедает его изнутри.

	codeman 30 Mar 2006 12:56 AM
2 eXOR "Патчи они делать не успевают" Как говорят в народе must die

	Alexander S. Kharitonov 30 Mar 2006 11:15 PM
"Microsoft сообщила, что она работает над исправлением ошибки. Обновление планируется выпустить 11 апреля, в соответствии с графиком ежемесячных исправлений Microsoft." - просто плановая экономика какая-то :-)

	Alexander S. Kharitonov 30 Mar 2006 11:28 PM
А Джордж Оу наверное тем временем пишет очередную статью о том, как быстро в Windows исправляются ошибки. Пока будут исправлять эту, он успеет несколько таких статей написать :-)

← февраль 2006

21 22 23 24 27 28 29 30 31

апрель 2006 →