Автор Правда.Ру

Пять новых дыр в Internet Explorer и Outlook Express

Корпорация Microsoft выпустила 23 апреля два новых бюллетеня безопасности, в которых описываются пять новых уязвимостей в браузере Internet Explorer версий 5.01, 5.5 и 6.0, а также в почтовом клиенте Outlook Express. Четыре уязвимости были обнаружены в Internet Explorer и еще одна - в Outlook Express. Последняя, равно как и три дыры в IE, носят критический характер - способны привести к запуску на компьютере жертвы произвольного программного кода.

 

 В бюллетене безопасности MS03-015 описывается новый кумулятивный патч для Internet Explorer, который наряду с уже исправленными прошлыми патчами дырами ликвидирует четыре новые.

 

 Первая из новых дыр имеется в библиотеке urlmon.dll и связана с тем, что Internet Explorer неправильно обрабатывает некоторые параметры, относящиеся к передаваемой сервером информации. В результате, при обработке веб-страниц определенной структуры возникает ошибка, позволяющая хакеру запустить на компьютере произвольный код. Для реализации атаки достаточно заманить пользователя на такую страницу. Никаких дополнительных действий от пользователя не требуется.

 

 Вторая уязвимость в IE, единственная, которой был присвоен "умеренный" рейтинг, содержится в модуле браузера, ответственном за загрузку файлов на удаленный компьютер. Используя данную дыру, хакер может загрузить с компьютера жертвы файл с заранее известным именем.

 

 Следующая критическая дыра содержится в модуле Internet Explorer, ответственном за работу с плагинами для обработки файлов, которые не поддерживаются браузером по умолчанию. При работе с такими файлами некоторые из служебных параметров обрабатываются неправильно. В результате, злоумышленник может направить браузеру особым образом сформированный URL, который запустит скрипт во время обработки "чужого" файла. Для пораженного компьютера такая атака может иметь плачевные последствия.

 

 Четвертая уязвимость содержится в модуле обработки модальных диалогов (modal dialogs). Некоторые из входных параметров проверяются браузером неправильно, что также может привести к запуску скрипта, открывающего хакеру доступ к файлам на пораженном компьютере. Кроме того, в состав кумулятивного патча включено исправление для браузера Internet Explorer 6.0 SP1, исправляющее ошибки с отображением помощи в зоне безопасности локального компьютера. Наконец, новый патч блокирует ActiveX-модуль Plugin.ocx, в котором также имеется уязвимость.

 

 Критическая дыра в Outlook Express связана с ошибкой в модуле обработки URL в соответствии со стандартом MHTML, использующимся для работы с HTML в сообщениях электронной почты. Данный модуль позволяет запустить обработку любого файла, который может быть отображен в виде текста, браузером Internet Explorer. В результате, если на обработку будет запущен текстовый файл, содержащий скрипт и находящийся на локальном компьютере, данный скрипт будет выполнен, что может повлечь за собой весьма неприятные последствия.

 

Ссылки по теме Компьюлента

 Нажми «Нравится»и читай нас в Facebook
Комментарии
России предложили побыстрее разорвать договор о дружбе с Украиной
Генералы требовали от Кеннеди начала ядерной войны. Как это было
Болгария в шоке: вслед за Радевым к Путину едет Борисов
Россия поможет Донбассу в войне с Украиной "по-тихому"
Россия поможет Донбассу в войне с Украиной "по-тихому"
Госдума рассмотрит законопроект об отмене ЕГЭ
В ДНР объявили о провале украинских атак под Горловкой
Власти США потребовали отобрать у русских веру в Бога
Болгария в шоке: вслед за Радевым к Путину едет Борисов
Ядерная зима мира: извержение Йеллоустонского супервулкана собираются спровоцировать
Генералы требовали от Кеннеди начала ядерной войны. Как это было
Смоет все: СМИ узнали реальную мощность заряда "Посейдона"
Власти США потребовали отобрать у русских веру в Бога
Грузия объявила, что готова вступить в НАТО и ждет приглашения
Оренбург - уникальный великий город-ошибка
Территориям бывшего СССР не хватает русского генерал-губернатора
Власти США потребовали отобрать у русских веру в Бога
МИД РФ назвал по имени причину обострения в Донбассе
Территориям бывшего СССР не хватает русского генерал-губернатора
Россияне выступают за снижение пенсионного возраста
Умирающий Маккейн потребовал уничтожить Путина и Россию