Новый патч для MS Internet Explorer: слишком критичный, чтобы медлить с его установкой!

06 октября 2003

[06.10.2003]

3 октября 2003 г. в бюллетене MS03-40 корпорация Microsoft опубликовала кумулятивный патч к приложению Microsoft Internet Explorer. Публикуемый патч закрывает все ранее обнаруженные уязвимости в системе безопасности данного клиента, а также несколько новых. Согласно принятой в компании шкале угроз установка патча классифицируется как "критическая" (Critical).

В данном случае речь идет об уязвимостях, которым подвержены пользователи следующих версий данного приложения:

  • Internet Explorer 5.01
  • Internet Explorer 5.5
  • Internet Explorer 6.0
  • Internet Explorer 6.0 для Windows Server 2003

Обе новых уязвимости состоят в некорректном определении приложением Internet Explorer типа объекта возвращаемого веб-сервером, первая – в случае со всплывающим окном, другая – во время обработки XML-данных. При посещении пользователем специально разработанного сайта, созданного нападающим, или получения от последнего специальным образом сконструированного сообщения в формате HTML, становится возможным запуск произвольного кода в атакуемой системе без осуществления каких-либо действий со стороны пользователя, но только в контексте прав пользователя такой системы.

Уязвимостями невозможно воспользоваться, если Internet Explorer для Windows Server 2003 действует с установками системы безопасности Enhanced Security Configuration, которые автоматически блокируют возможность проведения такой атаки.

ЗАО "ДиалогНаука" призывает всех пользователей вышеуказанных приложений установить у себя рекомендуемые патчи. Их можно получить на сайте компании Microsoft:

221
;