Microsoft подтвердила наличие критической дыры в IE
24.03.2006
Корпорация Microsoft подтвердила наличие опасной уязвимости в браузере Internet Explorer, используя которую злоумышленники теоретически могут получить доступ к удаленному компьютеру и выполнить на нем произвольные деструктивные операции.
Брешь, о которой идет речь, была обнаружена датской компанией Secunia. Проблема связана с некорректной обработкой функции "createTextRange()". Для реализации атаки нападающему необходимо заманить жертву на сформированную особым образом веб-страницу. При просмотре такой страницы в браузере Internet Explorer происходит повреждение данных в памяти, и злоумышленник получает возможность перехватить контроль над компьютером.
Ситуация ухудшается еще и тем, что в интернете уже появился пример вредоносного кода, посредством которого можно задействовать уязвимость. Атакам подвержены полностью пропатченные компьютеры с операционной системой Windows ХР (со вторым сервис-паком) и браузером IE 6.0 или IE 7 Beta 2 Preview (январский релиз). Компания Secunia присвоила уязвимости рейтинг максимальной опасности, патча для дыры пока не существует. Корпорация Microsoft, между тем, подчеркивает, что продолжает заниматься изучением проблемы.
Кстати, в настоящее время Microsoft готовит заплатки, как минимум, еще для двух уязвимостей в самом распространенном на Земле браузере. Одна из этих дыр обеспечивает возможность выполнения на удаленном компьютере HTA-файла без ведома пользователя. Вторая, менее опасная брешь позволяет спровоцировать аварийное завершение работы браузера. Предполагается, что очередная порция патчей для Internet Explorer будет выпущена в следующем месяце.
