 |
|
 |
|
        | |
|
|
|||||
News
Events
Yellow Pages
Classifieds
TV/Video
Dating
Forum
Chat
Photos
|
|
 | |
| |
|
| |||||||||||||||||||||||||||||||
SoftNewsПять новых дыр в Internet Explorer и Outlook Express
5:38PM Saturday, Apr 26, 2003
Компьюлента. 24 апреля 2003 года, 11:31
Корпорация Microsoft выпустила 23 апреля два новых бюллетеня безопасности, в которых описываются пять новых уязвимостей в браузере Internet Explorer версий 5.01, 5.5 и 6.0, а также в почтовом клиенте Outlook Express. Четыре уязвимости были обнаружены в Internet Explorer и еще одна - в Outlook Express. Последняя, равно как и три дыры в IE, носят критический характер - способны привести к запуску на компьютере жертвы произвольного программного кода. В бюллетене безопасности MS03-015 описывается новый кумулятивный патч для Internet Explorer, который наряду с уже исправленными прошлыми патчами дырами ликвидирует четыре новые. Первая из новых дыр имеется в библиотеке urlmon.dll и связана с тем, что Internet Explorer неправильно обрабатывает некоторые параметры, относящиеся к передаваемой сервером информации. В результате, при обработке веб-страниц определенной структуры возникает ошибка, позволяющая хакеру запустить на компьютере произвольный код. Для реализации атаки достаточно заманить пользователя на такую страницу. Никаких дополнительных действий от пользователя не требуется. Вторая уязвимость в IE, единственная, которой был присвоен "умеренный" рейтинг, содержится в модуле браузера, ответственном за загрузку файлов на удаленный компьютер. Используя данную дыру, хакер может загрузить с компьютера жертвы файл с заранее известным именем. Следующая критическая дыра содержится в модуле Internet Explorer, ответственном за работу с плагинами для обработки файлов, которые не поддерживаются браузером по умолчанию. При работе с такими файлами некоторые из служебных параметров обрабатываются неправильно. В результате, злоумышленник может направить браузеру особым образом сформированный URL, который запустит скрипт во время обработки "чужого" файла. Для пораженного компьютера такая атака может иметь плачевные последствия. Четвертая уязвимость содержится в модуле обработки модальных диалогов (modal dialogs). Некоторые из входных параметров проверяются браузером неправильно, что также может привести к запуску скрипта, открывающего хакеру доступ к файлам на пораженном компьютере. Кроме того, в состав кумулятивного патча включено исправление для браузера Internet Explorer 6.0 SP1, исправляющее ошибки с отображением помощи в зоне безопасности локального компьютера. Наконец, новый патч блокирует ActiveX-модуль Plugin.ocx, в котором также имеется уязвимость. Критическая дыра в Outlook Express связана с ошибкой в модуле обработки URL в соответствии со стандартом MHTML, использующимся для работы с HTML в сообщениях электронной почты. Данный модуль позволяет запустить обработку любого файла, который может быть отображен в виде текста, браузером Internet Explorer. В результате, если на обработку будет запущен текстовый файл, содержащий скрипт и находящийся на локальном компьютере, данный скрипт будет выполнен, что может повлечь за собой весьма неприятные последствия. Подробнее о дыре в Outlook Express можно прочитать в бюллетене MS03-014. |
Рассылки:
 Новости-почтой TV-Программа Гороскопы Job Offers Концерты Coupons Discounts Иммиграция Business News Анекдоты Многое другое... |
|||||||||||||||||||||||||||||||
| |
| News Central Home | News Central Resources | Portal News Resources | Help | Login | |
 | |
|
|
|
|
© 2024 RussianAMERICA Holding All Rights Reserved • Contact |
