Уязвимость Object Tag в MS Internet Explorer расценивается как "критическая"

20 августа 2003 г. корпорация Microsoft опубликовала бюллетень MS03-032, посвященный обнаружению сразу двух уязвимостей в приложении MS Internet Explorer, классифицируемых по шкале угроз компании как "критические" (Critical).

Уязвимости подвержены пользователи MS Internet Explorer версий 5.01, 5.5, 6.0 и Internet Explorer 6.0 для Windows Server 2003. Уязвимостью невозможно воспользоваться на компьютерах под управлением Windows Server 2003, т.к. установки по умолчанию Internet Explorer (Enhanced Security) блокируют возможность проведения подобной атаки.

Первая уязвимость связана с кросс-доменной моделью безопасности приложения Internet Explorer, благодаря которой обмен информации между разными доменами в окнах браузера невозможен. Наличие же уязвимости делает возможным запуск скрипта в зоне My Computer. Чтобы воспользоваться брешью, нападающему необходимо разместить в интернете вредоносный веб-сайт и убедить пользователя посетить его, либо отослать специальным образом сконструированное почтовое сообщение в формате HTML и убедить пользователя открыть такое сообщение. После этого становится возможным доступ к информации, хранящейся на компьютере пользователя, а также запуск кода в контексте безопасности данного пользователя. Кроме того, наличие этой бреши позволяет запускать исполняемые файлы или просматривать файлы на компьютере-жертве.

Другая уязвимость существует в силу некорректного определения браузером Internet Explorer типа объекта, возвращаемого с веб-сервера. В результате, при посещении пользователем вредоносного веб-сайта, становится возможным запуск кода, причем без всяких действий со стороны пользователя.

Однако после публикации бюллетеня в компании стали получать сообщения от пользователей, что обнародованный патч не закрывает должным образом проблему, названную Object Type Vulnerability, в Windows XP на которых установлен Internet Information Services (IIS) 5.1. В результате, на свет появился другой бюллетень MS 03-040 - в рамках которого был выпущен новый кумулятивный патч для Internet Explorer версии 5.01, 5.5 и 6.0.

ЗАО "ДиалогНаука" призывает всех пользователей вышеуказанных версий ОС Windows установить у себя рекомендуемые патчи. Их можно получить на сайте компании Microsoft: