25.09.2006
Microsoft сообщила о срочной подготовке «заплатки» к новой критической уязвимости в Internet Explorer, связанной с обработкой страниц на языке VML.
Уязвимость IE в обработке VML — языка разметки векторной графики — позволяет составить сценарий, выполняющий в системе произвольный код при посещении инфицированного сайта. Специалисты Sunbelt Software обнаружили эксплойты — реализации атаки через уязвимость — на некоторых российских порносайтах, созданных хакерами. Secunia присвоила дыре рейтинг «экстремально критическая». Она может быть эксплуатирована на любой версии Windows при использовании Internet Explorer.
Microsoft пока не выпустила заплатку, но опубликовала предупреждение на своем сайте. Крайний срок обновления безопасности — традиционный второй вторник месяца, который придется на 10 октября.
Конкуренты критикуют софтверного гиганта за новую традицию. «Тенденция выпуска новых эксплойтов сразу же после „Вторника патчей“ продолжается», — говорит старший менеджер по реагированию на проблемы безопасности Symantec Амадо Идальго (Amado Hidalgo). В компании, рынку которой Microsoft угрожает новыми защитными технологиями в Vista, неделю после второго вторника назвали «неделей эксплойтов».
Новости о VML-эксплойте появились спустя несколько дней после того, как в компоненте ActiveX была обнаружена другая уязвимость, позволяющая выполнять произвольный код на компьютере-жертве.
Microsoft советует пользователям не переходить по сомнительным ссылкам в электронных письмах и не открывать вложения в письмах от неизвестных источников, а также обращаться в ФБР или на сайт Центра жалоб на мошенничество в интернете, сообщил NewsFactor.
|