Корпорация Microsoft выпустила кумулятивный пакет обновлений для версий 5.01, 5.5 и 6 Internet Explorer. Из-за важности трех недавно обнаруженных брешей, которые он исправляет, рекомендуется всем пользователям установить этот пакет.
Первая проблема связана с междоменной моделью защиты в Internet Explorer. Она может допустить создание веб страницы или электронного сообщения в формате HTML, которое при просмотре пользователем может привести к запуску скрипта на локальном компьютере. Потенциальные последствия заключаются в возможности получения информации с других веб сайтов, возможности чтения системных файлов и запуска программного кода.
Вторая брешь относится к функции "drag-and-drop" на динамических HTML страницах (DHTML). Злоумышленник может использовать эту брешь для создания веб страницы или электронного сообщения в формате HTML с ссылкой, при нажатии на которую у пользователя Internet Explorer в локальной системе будет храниться файл. Эта технология может быть использована для загрузки вируса или вредоносного объекта другого типа.
Третья брешь, исправляемая этим модулем, может привести к неправильному представлению URL. Эта брешь основана на неверном анализе URL со специальными символами и неверно используемым свойством аутентификации, при использовании которого в начале URL помещается строка "username:password@". Это может позволить злоумышленнику создать веб страницу с любым URL в адресной строке на его выбор, а содержимое этой страницы может относиться к другому сайту. Данная ошибка была недавно использована для обмана пользователей определенных онлайновых сервисов, в особенности банков.
Microsoft также объявила о том, что обновление включает в себя улучшения базовой системы аутентификации в Internet Explorer. По этой причине после установки пакета обновлений следующий синтаксис: http(s)://username:passsword@server/resource.ext в Internet Explorer поддерживаться не будет.
