Корпорация Microsoft объявила об обнаружении нескольких новых дыр в своих продуктах. Наиболее серьезной является дыра в виртуальной машине Java, которая по умолчанию входит в состав Windows 95, 98, Me, 2000 и XP с установленным пакетом обновлений SP1. Дыра связана с неправильной проверкой загружаемого кода компонентом ByteCode Verifier. Если хакер заставит пользователя запустить особым образом сформированный апплет, то злоумышленник получит возможность запускать в системе произвольный код.

В связи с серьезностью потенциальных последствий уязвимости был присвоен самый высокий критический рейтинг. Опасность дыры несколько компенсируется тем, что в последних версиях Internet Explorer, Outlook и Outlook Express выполнение Java-апплетов запрещено для большинства сайтов. Тем не менее, всем пользователям Windows с виртуальной машиной версии 5.0.3809 и младше рекомендуется незамедлительно установить заплатку, обновляющую виртуальную машину до версии 5.0.3810. Более подробную информацию о дыре и средствах борьбы с ней можно найти в бюллетене безопасности MS03-011.

Еще одна дыра, описанная в бюллетене безопасности MS03-012, касается пользователей серверных продуктов Microsoft Proxy Server 2.0 и Microsoft ISA Server 2000. В последнем уязвимой службой является брандмауэр. Из-за наличия ошибки в обработке входящих запросов хакер может вызвать отказ сервера обслуживать клиентов, направив на него специальным образом сформированный запрос.

Дыра была охарактеризована Microsoft как важная, поскольку реализация атаки через интернет возможна только, если сервер настроен на прием внешних запросов через порт 1745. Это не является настройкой по умолчанию, поэтому удаленно использовать уязвимость достаточно сложно. Тем не менее, в Microsoft рекомендуют при первой возможности установить соответствующий патч.