Microsoft выпустила совокупное обновление для Internet Explorer

Виталий Кравченко

≡ Архив | архивная статья | 22.08.2003 15:48

В минувшую среду корпорация Microsoft выпустила кумулятивный модуль обновления для Internet Explorer, который исправляет все ранее обнаруженные бреши и защищает IE от некоторых новых уязвимостей, сочтенных «критическими». Представители Microsoft заявили, что это обновление включает все ранее выпущенные обновления для Internet Explorer версий 5.01, 5.5 и 6.0, а также адресовано против некоторых брешей в защите IE. Эти уязвимости позволяют атакующему использовать специально созданные веб-страницы или html-код в электронном письме для получения доступа к компьютеру пользователя.

Одна из уязвимостей позволяла атакующему запускать скрипты в области «Мой компьютер» пользователя; запускать exe-файлы, уже присутствующие в системе; а также просматривать файлы, имеющиеся на компьютере. Для использования этой бреши атакующему достаточно было создать веб-сайт со специальным кодом и добиться, чтобы пользователь зашел на эту страницу.

Вторая брешь, по утверждению Microsoft, позволяла запускать произвольный код на компьютере пользователя, так как Internet Explorer не определял должным образом тип объекта, полученного с веб-сервера. Эта уязвимость могла быть использована также либо через сайт со злокачественным кодом, либо через электронное письмо в формате html. Microsoft также использовала кумулятивное обновление для изменения пути исполнения Internet Explorer-ом html-файлов. За счет этого блокируется недостаток, который в некоторых случаях приводил к ошибке в Internet Explorer и Outlook Express. Этот недостаток также позволил бы атакующему создавать html-письмо, приводящее к ошибке Outlook Express.

Кроме этого, обновление модифицирует более раннее обновление для некоторых специфических языков.

Microsoft отметила, что, по умолчанию Windows Server 2003 запускается в режиме улучшенной защиты (Enhanced Security Configuration), которая блокирует такие атаки. Однако если этот режим отключен, то система открыта для подобных вторжений. Корпорация также выпустила в среду два отдельных обновления: одно для MDAC (Microsoft Data Access Components), а второе для Microsoft DirectX.

MDAC представляет собой набор компонентов, используемых для обеспечения совместимости баз данных на платформах Windows. Обновление для MDAC блокирует уязвимость, которая позволяет атакующему выполнять различные действия, в том числе исполнение кода. Ошибка затрагивает: MDAC 2.5 (содержащийся в Windows 2000, Office 2000 SR1 и более поздние, а также SQL Server 7.0 SP2 и более поздние); MDAC 2.6 (содержащийся в SQL Server 2000); MDAC 2.7 (содержащийся в Windows XP и Visual Studio .NET).

Обновление для DirectX ликвидирует брешь, позволяющую запускать на компьютере пользователя программы после того, как он посетил сайт или открыл html-письмо со злокачественным кодом. Брешь затрагивает:

— DirectX 5.2 под Windows 98;
— DirectX 6.1 под Windows 98 SE;
— DirectX 7.0 под Windows 2000;
— DirectX 7.1 под Windows Me;
— DirectX 8.0, 8.0a, 8.1, 8.1a и 8.1b под Windows 98, Windows 98 SE, Windows Me, Windows 2000, Windows XP или Windows Server 2003;
— DirectX 8.1 под Windows XP;
— DirectX 8.1 под Windows Server 2003;
— DirectX 9.0a под Windows 98, Windows 98 SE, Windows Me, Windows 2000, Windows XP или Windows Server 2003;
— Windows NT Server 4.0 с Windows Media Player 6.4 или Internet Explorer 6 SP1;
— Windows NT Server 4.0 Terminal Server Edition с Windows Media Player 6.4 или IE 6 SP1.

комментарии(0)

разделы: Архив