Софтуер: Три дупки в Internet Explorer

[forumadmin]

Microsoft предупреждава потребителите, че в браузъра на компанията има опасна уязвимост, която позволява атакуващия да поеме пълен контрол над системата. Проблемът се крие в метода createTextRange(), използван при рендерирането на радио-бутони в HTML форма. Специално направена страница може да предизвика препълване на буфера в него и да изпълни произволен код. Компанията работи по отстраняване на уязвимостта. Пач за нея със сигурност ще има на 11 април, когато се пускат поредните ежемесечни пачове, но е възможно да бъде пуснат и по-рано. До тогава препоръчва изключването на Active Scripting в IE. Това е третата от уязвимостите, намерени през този месец. Тя е най-опасна не само защото позволява изпълнение на произволен код, но и защото вече се използва от злонамерени сайтове за инсталиране на вредоносен код.

Другата критическа уязвимост позволява изпълнение на произволни HTA (HyperText Application) файлове в системата. HTA са приложения, съставени от HTML код и скриптове, които обаче се стартират без ограниченията в сигурността, налагани от Internet Explorer на стандартните уебстраници. Чрез специално направена уебстраница атакуващият може да накара браузъра да изтегли и стартира HTA файла. Подробностите относно тази уязвимост обаче остават в тайна до пускането на пач от страна на Microsoft. Последната уязвимост е по-малко опасна, защото може единствено да спре работата на Internet Explorer. Тя е при обработката на HTML тагове, които имат прикачени множество обработки на събития.