Компьюлента. 29 января 2004 года, 10:57
Сотрудники компании Secunia, специализирующейся на вопросах компьютерной безопасности, предупреждают об обнаружении очередной уязвимости в пакете Microsoft Internet Explorer. Со слов специалистов, дыра актуальна лишь для последней, шестой версии браузера, хотя не исключено, что и более ранние варианты IE также содержат данную ошибку.
Суть проблемы сводится к тому, что злоумышленник может поменять имя расположенного на какой-либо веб-страничке исполняемого файла таким образом, что для пользователя он будет выглядеть как обычный текстовый документ. В результате, щелкнув по файлу с расширением, к примеру, .txt или .pdf, посетитель сайта невольно запустит вредоносный код. Ситуация усугубляется еще и тем, что уязвимость может использоваться в комплексе с другой дырой, о которой стало известно еще в декабре. Та ошибка, также найденная сотрудниками Secunia, позволяет отобразить в адресной или статусной строке браузера поддельный URL, не соответствующий реальному. То есть, злоумышленник может заманить пользователя на собственный сайт, замаскированный под заслуживающий доверия ресурс, и предложить запустить какой-либо исполняемый файл с расширением текстового документа.
Заплаток для этих дыр на сегодняшний день не существует. В качестве временной меры в Secunia предлагают использовать функции фильтрации URL брандмауэра или прокси-сервера. Кроме того, не следует открывать документы напрямую через браузер. Файлы нужно предварительно сохранять на диске - это позволяет узнать их истинное расширение.
