В Java-машинах, поставляемых Microsoft вместе с браузерами Internet Explorer, обнаружены три опасные уязвимости, две из которыъ позволяют захватить контроль над компьютером.
Опасности подвержены операционные системы Windows 95, 98, 98SE, Millenium, NT 4.0 (с SP1), 2000, XP (с SP1). Поскольку Microsoft занимается поддержкой своей Java-машины только версии 5.0.3167 и выше, данных о подверженности этим уязвимостям предыдущих JM нет. Об их влиянии на Java-машины Sun, которые могут быть установлены взамен JM Microsoft, также пока ничего не известно.
Первая уязвимость связана с классами, при помощи которых Java-приложения работают с базами данных (Java Database Connectivity, JDBC). Она позволяет загружать на компьютер пользователя и выполнять там любую DLL. Подвергнуться атаке пользователь может, открыв e-mail в формате HTML или зайдя на страничку, где размещены специальные Java-апплеты.
Вторая дыра также связана с классами JDBC, но по своим последствиям менее опасна - она может привести лишь к зависанию IE.
Третья уязвимость связана с использованием Java-программами языка XML. С ее помощью Java-апплет, запущенный с сайта, может выполнять в системе практически любые действия.
Все три уязвимости ограничены пользовательскими правами работы в системе. Поэтому в корпоративных сетях, где пользовательские права по умолчанию ограничены, они представляют меньшую опасность.
Подробнее узнать об узвимостях и скачать необходимые патчи можно на сайте Microsoft в бюллетене № MS02-052.
