Еще две "критические" уязвимости обнаружены в MS Internet Explorer
Еще две уязвимости обнаружены в приложении Internet Explorer операционной системы Windows, соответствующий отчет опубликован в бюллетене компании Microsoft MS03-004 5 февраля 2003 г. Результатом действия данных уязвимостей может стать запуск вредоносных команд в пользовательской системе. Уязвимостям присвоен статус "критических" в силу большой опасности для пораженных машин.
Уязвимостям подвержены следующие версии MS Internet Explorer:
Как известно, одной из функций системы безопасности браузера является принцип, согласно которому окна, подконтрольные разным веб-сайтам не могут взаимодействовать друг с другом или получать доступ к данным друг друга, однако ничто не мешает взаимодействовать между собой окнам одного и того же сайта. Для различия взаимодействующих и невзаимодействующих окон браузера и была создана концепция "домена". Модель безопасности "cross-domain" является частью общей системы безопасности, которая не дает взаимодействовать окнам разных доменов друг с другом. Однако,существует возможность обойти эту модель, используя определенные диалоговые окна.
Для того, чтобы воспользоваться первой уязвимостью, нападающей стороне потребуется разместить в сети Интернет веб-страницу с вредоносным кодом, а затем каким-либо образом убедить пользователя посетить такую страницу. В случае захода пользователя на такой сайт атакующий будет иметь возможность запустить вредоносный скрипт, в результате чего постороннему лицу становятся доступными файлы локальной системы, не используемые в данный момент пользователем или операционной системой (в случае если известен точный путь к ним и имя файла), становится возможными доступ к любым данным, помещение в систему и запуск исполняемых файлов.
В случае со второй уязвимостью ошибка в функции showHelp приложения Internet Explorer может позволить нападающему читать файлы в пользовательской локальной системе (если известен точный путь к ним), нарушая тем самым конфиденциальность информации. Также возможен запуск исполняемых файлов.
Уязвимости не подвержены пользователи приложений Internet Explorer версии 5.01, Outlook Express 6.0 или Outlook 2002, а также Outlook 98 или 2000 (с установленным Outlook Email Security Update). Данные версии этих приложений открывают почтовые сообщения в формате HTML только в Зоне Ограниченных Узлов, поэтому их пользователи гарантировано защищены от атаки посредством почтового сообщения, а их компьютеры могут быть поражены только в случае сознательного нажатия пользователем на ссылку на инфицированный веб-сайт, содержащуюся в письме.
ЗАО "ДиалогНаука" настоятельно рекомендует всем пользователям указанных версий MS Internet Explorer загрузить и установить на своих компьютерах кумулятивный пачт, опубликованный компанией Microsoft.