Обнаружены критические уязвимости в Internet Explorer
В популярнейшем веб-браузере Internet Explorer были обнаружены четыре новые уязвимости, позволяющие злоумышленнику запускать код вредоносных программ на удаленных системах, даже если на них установлены последние версии арзличного рода программных "заплаток", либо. Кроме того они дают возможность работать вредоносному коду в привилегированном режиме, а также создавать веб-сайты, при просмотре которых на атакуемый компьютер загружаются и инсталлируются специальные программы.
Две из указанных уязвимостей, вперые указанные на формуме NTBugtraq неким Рафаэлем Ивги, позволяют хакеру загружать контент на удаленные системы посрдетсвом замаскированных веб-сайтов, отображающих в адресной строке браузера адрес совершенно других страниц, и обманным путем принуждающих пользователей кликать на опасные ссылки. Обе они очень похожи на те, которые были обнаружены в декабре 2003 года, и позволяли скрывать реальное расположение веб-страниц, включая в адрес символы "%01" перед "@". Новая же уязвимость помогает злоумышленнику скрывать истинный адрес страниц, размещая в нем символы "::/" .
Другая уязвимость, именуемая "cross zone scripting", позволяет хакерам обманывать браузер Internet Explorer при загрузке небезопасных данных, используя пониженный уровень безопасности в его настройках, применимый обычно к уже хранящимся файлам на жестком диске, либо загружаемых с заведомо безопасных ресурсов, таких как www.microsoft.com. В целом же все эти уязвимости могут позволить заманить невнимательных пользователея на фальшивый ресурс, заставить их своими руками проивзести загрузку вредоносного ПО и исполнить его на своем ПК.
Две из указанных уязвимостей, вперые указанные на формуме NTBugtraq неким Рафаэлем Ивги, позволяют хакеру загружать контент на удаленные системы посрдетсвом замаскированных веб-сайтов, отображающих в адресной строке браузера адрес совершенно других страниц, и обманным путем принуждающих пользователей кликать на опасные ссылки. Обе они очень похожи на те, которые были обнаружены в декабре 2003 года, и позволяли скрывать реальное расположение веб-страниц, включая в адрес символы "%01" перед "@". Новая же уязвимость помогает злоумышленнику скрывать истинный адрес страниц, размещая в нем символы "::/" .
Другая уязвимость, именуемая "cross zone scripting", позволяет хакерам обманывать браузер Internet Explorer при загрузке небезопасных данных, используя пониженный уровень безопасности в его настройках, применимый обычно к уже хранящимся файлам на жестком диске, либо загружаемых с заведомо безопасных ресурсов, таких как www.microsoft.com. В целом же все эти уязвимости могут позволить заманить невнимательных пользователея на фальшивый ресурс, заставить их своими руками проивзести загрузку вредоносного ПО и исполнить его на своем ПК.