Главная
Архив новостей
Безопасность в Unix
Безопасность в Windows
Сборник FAQ'ов
Телефония, фрикинг
Кредитные карты
Криптография
Истории о хакерах
Программы, утилиты
_el@sp.sz.ru

RB2 Network

Microsoft ставит заплату на очередную дыру в защите браузера Internet Explorer



[www.pcworld.com] Корпорация Microsoft выпустила заплату для очередной дыры в защите браузера Internet Explorer, из-за которой хакер получал возможность переписывать содержимое файлов на компьютере пользователя и вообще выводить компьютер из строя. Заплату можно скопировать по адресу: http://www.microsoft.com/windows/ie/download/critical/patch8.htm.

За эту дыру в защите ответственна функция Active Setup Download. Функция Active Setup определяет, какие файлы действительно необходимы пользователю, который обновляет свое ПО, и производит только их загрузку. Кроме того, функция Active Setup должна проверять, имеется ли в загружаемых файлах электронная подпись и предупреждать пользователя о том, что такой подписи или нет или она принадлежит неавторизованному автору. Однако в этом механизме есть две бреши. Первая состоит в том, что файлы, имеющие подпись Microsoft, по умолчанию рассматриваются как "правильные", то есть Internet Explorer будет загружать их, не спрашивая разрешения пользователя. Кроме того, эта функция предусматривает возможность задания определенного места для загрузки файлов на жесткий диск компьютера, а это позволяет хакеру перезаписывать системные файлы и выводить компьютер из строя.

Такие дыры были обнаружены в браузере Internet Explorer версий 4, 4.01, 5 и 5.01.

Источник: InfoArt


<== Back to main page