4 декабря корпорация Microsoft выпустила очередной кумулятивный патч для браузера Internet Explorer. Данная заплатка содержит все исправления для ранее обнаруженных уязвимостей и ликвидирует одну новую дыру, обнаруженную недавно в Internet Explorer версий 5.5 и 6.0.

Уязвимость связана с тем, что проверка безопасности, осуществляемая при выполнении некоторых функций кэширвания объектов, не завершается. В результате, узел, находящийся в одном домене, может получить доступ к информации на узле в другом домене, в том числе и на том компьютере, где работает Internet Explorer. Таким образом, злоумышленник может читать файлы на компьютере жертвы и запускать исполнемые файлы, уже находящиеся на жестком диске.

Для того чтобы использовать уязвимость, злоумышленник должен создать веб-страницу, использующую кэширование объектов и каким-то образом заманить на нее пользователя. Атака, осуществляемая с помощью оправки страницы в электронном письме, сработает только при условии применения почтового клиента Outlook 98 или 2000 без установленного обновления Outlook Email Security Update. Браузер IE 5.01 вообще не содержит дыры. Подробности об уязвимости можно узнать в бюллетене безопасности MS02-068.

В оценке опасности новой дыры независимые эксперты и представители Microsoft расходятся. Например, издание IT World цитирует Тора Лархольма, специалиста по компьютерной безопасности из датской компании PivX Solutions. По его словам, дыра чрезвычайно опасна, поскольку с ее помощью злоумышленник может изменять файлы на компьютре жертвы, форматировать диски и загружать с него любые данные.

А в бюллетене Microsoft опасность оценивается как умеренная (moderate). Дело в том, что, по данным Microsoft, хакер, использующий дыру, может читать файлы на компьютере жертвы, но ни в коем случае не модифицировать их, как утверждает Лархольм. Отформатировать на пораженной машине диск также не получиться. Объясняется это тем, что при использвании дыры можно запускать исполняемые файлы без указания дополнительных параметров. А для форматирования диска в любом случае требуется указать его имя.