Новый патч для MS Internet Explorer: слишком критичный, чтобы медлить с его установкой!

3 октября 2003 г. в бюллетене MS03-40 корпорация Microsoft опубликовала кумулятивный патч к приложению Microsoft Internet Explorer. Публикуемый патч закрывает все ранее обнаруженные уязвимости в системе безопасности данного клиента, а также несколько новых. Согласно принятой в компании шкале угроз установка патча классифицируется как "критическая" (Critical).

В данном случае речь идет об уязвимостях, которым подвержены пользователи следующих версий данного приложения:

• Internet Explorer 5.01
• Internet Explorer 5.5
• Internet Explorer 6.0
• Internet Explorer 6.0 для Windows Server 2003

Обе новых уязвимости состоят в некорректном определении приложением Internet Explorer типа объекта возвращаемого веб-сервером, первая – в случае со всплывающим окном, другая – во время обработки XML-данных. При посещении пользователем специально разработанного сайта, созданного нападающим, или получения от последнего специальным образом сконструированного сообщения в формате HTML, становится возможным запуск произвольного кода в атакуемой системе без осуществления каких-либо действий со стороны пользователя, но только в контексте прав пользователя такой системы.

Уязвимостями невозможно воспользоваться, если Internet Explorer для Windows Server 2003 действует с установками системы безопасности Enhanced Security Configuration, которые автоматически блокируют возможность проведения такой атаки.

ЗАО "ДиалогНаука" призывает всех пользователей вышеуказанных приложений установить у себя рекомендуемые патчи. Их можно получить на сайте компании Microsoft:

• для всех версий Microsoft Internet Explorer, кроме версий для Windows Server 2003
• для Microsoft Internet Explorer 6.0 для Windows Server 2003