Соответственно, пользователи программного ширпотреба уважаемой фирмы получили еще три аргумента в пользу перехода на более серьезное программного обеспечение. Без обид, ладно?
Первый аргумент состоит в ошибке, обнаруженной в реализации движка MS XML Core Services (MSXML). Подавая запрос на получение данных с веб-сервера, указанный движок, как оказалось, может игнорировать правила, заданные в установках IE Security Zone. Ошибка не ведет к особо катастрофическим последствиям, однако хакер, при желании, может получить доступ к жесткому диску компьютера жертвы в режиме "только для чтения". Дырка, как пишет The Register, таится в механизме XMLHTTP ActiveX, позволяющей веб-страницам отправлять и получать данные в формате XML через http-запросы POST, GET и PUT.
Потенциальными жертвами могут стать (а может, уже и стали) пользователи ПО SQL Server 2000, Windows XP и IE6, использующего XML версий 2.6, 3.0 и 4.0.
Второй аргумент касается только пользователей MS Commerce Server 2000 (владельцы "чистого" Internet Information Server этой опасности не подвержены). В их случае имеется дефектный ISAPI-фильтер, не вполне корректно поддерживающий механизмы сетевой аутентификации. В худшем случае, хакер может получить права администратора. В лучшем: просто завесить сервер посредством DoS-атаки.
Самая жестокая ошибка охватывает, как обычно, самую широкую категорию пользователей. Речь идет о владельцах браузеров IE 5.1, 5.5 и 6.0. Как уже неоднократно случалось, реализация языка VBScript в этих браузерах позволяет злоумышленникам получать доступ к файлам на жестком диске жертвы. Вряд ли их заинтересуют документы в формате MS Word, а вот в том, что их заинтересуют ваши файлы с логинами, паролями и номерами кредитных карт, сомневаться не приходится.
