Новости Software за день

К дыре в IE появился эксплоит
К уязвимости в Internet Explorer, которую Secunia оценила как "чрезвычайно критичную" (extremely critical), появился публичный концептуальный эксплоит. Речь идет об уязвимости типа "отказ в обслуживании" в JavaScript-функции window() в IE. Злоумышленник может провести атаку, используя то, как JavaScript загружает событие, которое вызывает данную функцию.

Компания Computer Terrorism вообще считает, что данная брешь позволяет удаленно выполнить произвольный код на ПК пользователя с максимальными привилегиями. Чтобы доказать свою правоту, компания опубликовала концептуальный эксплоит. Представитель SANS отметил, что код можно не просто исполнить, но даже без вмешательство пользователя.

Так как уязвимости подвержены полностью обновленные ПК, а эксплоит - публично доступен, компания Secunia присвоила бреши самый высокий уровень опасности. Пользователям вообще рекомендуется отключить JavaScript для незнакомых сайтов, пока дыру не залатают.

Представитель Microsoft сообщил, что компания знает об уязвимости IE на Windows 2000 SP4 и Windows XP SP2, но IE на базе Windows Server 2003 и Windows Server 2003 SP1 с включенной опцией Enhanced Security Configuration защищены. Судя по всему, заплатка скоро выйдет.
Автор: Алексей Доля Дата: 24.11.2005 08:09