2001-12-19 11:18:10

Microsoft выпустила секьюрити-пач, закрывающий дыры в защите веб-браузера, через которые хакеры могут красть пароли и обманом склонять пользователей к загрузке зараженных файлов.
Microsoft предлагает пользователям Internet Explorer версий 5.5 и 6.0 немедленно установить новый пач, выложенный в четверг на веб-сайт компании. Софтверный гигант, в последние месяцы залатавший множество дыр в защите своего ПО веб-браузера и веб-сервера, утверждает, что пач лечит все известные на сегодняшний день проблемы безопасности в двух версиях IE и закрывает три новые дыры.

Microsoft узнала о них 19 ноября от Йоуко Пиннонена (Jouko Pynnonen) из финской компании Oy Online Solutions, специализирующейся на интернет-безопасности. 27 ноября Пиннонен сообщил, что он проинформировал компанию о еще более серьезных проблемах. 13 декабря Microsoft выпустила пач и выразила Пиннонену признательность в своем секьюрити-бюллетене. «Злоумышленник может выполнять на компьютере жертвы любую программу, что позволяет ему читать или удалять файлы (включая временные интернет-файлы и cookie-файлы), просматривать сетевой трафик, находить пароли, устанавливать троянских коней или вирусы», — утверждает Пиннонен.

Одна проблема, касающаяся только IE 6.0, позволяет атакующему изменять информацию HTML, обманом заставляя IE открывать исполняемые файлы злоумышленника без ведома пользователя. Две другие проблемы относятся к IE 5.5 и 6.0. Первая представляет собой разновидность известной лазейки, через которую хакер может открыть два окна браузера: одно в собственном домене веб-сайта, а другое — в системе ничего не подозревающего пользователя. Благодаря этому хакер может извлекать информацию из локальной системы — читать любые файлы, которые позволено открывать в окне браузера, но не изменять их. Вторая проблема связана со способом отображения имен файлов в диалоговом окне «Загрузить файл». Хакер может подменить имя файла в диалоговом окне, когда пользователь пытается загрузить файл. Атакующий может обманом заставить пользователя загрузить фальшивые файлы якобы с надежного веб-сайта.

Не установив пач, пользователи рискуют столкнуться с проблемами безопасности, которые до поры до времени не проявлялись. «Совсем не обязательно открывать вложение e-mail или что-то загружать, — говорит Пиннонен. — Пользователь-жертва может просто читать подброшенное злоумышленником электронное письмо или посещать фальшивый веб-сайт, не замечая ничего необычного».

ZDNet