23 декабря 2003, 11:56

Патч для IE, закрывая одну уязвимость, приносит пользователю другую

Вышел патч для коррекции уязвимости, связанной с подменой URL в Internet Explorer. Напомним, что уязвимость связана с возможностью отображения в адресной строке браузера поддельного адреса сайта. Это позволило бы хакерам создать у пользователя впечатление, что он находится на каком-либо известном и зарекомендовавшем себя с положительной стороны сайте. На самом же деле это мог быть сайт-копия, лишь имитирующий внешний вид известных сайтов, к примеру - интернет-магазинов. Усыпив бдительность пользователя, такой сайт мог "выведать" у посетителя его пароли, pin-коды и другую конфиденциальную информацию. Не говоря уж о возможности загрузки трояна под видом полезного файла или музыкальной композиции.

В Microsoft не озаботились оперативным выпуском патча, и судя по всему ждать заплатки в этом году уже не приходится. Сторонние разработчики предложили решить проблему своими силами. На сайте Openwares.org не так давно появилось обновление с открытым кодом, устраняющее вышеуказанную уязвимость.

И все бы хорошо, вот только патч этот, исцеляя одну ошибку, сам вносит пользователям другую. Ошибка переполнения буфера может быть использована для захвата контроля над удаленной машиной. В Openwares.org признали наличие проблемы и работают над ее устранением.   Microsoft же советует дожидаться официального патча.

Оцените новость:
  • 0 оценок