Библиотека Интернет Индустрии I2R.ru

Цифровой сертификат пересылается от сайта к пользователю и служит свидетельством подлинности и надежности источника информации. То есть сайт в настоящее время действительно принадлежит компании, заявленной в сертификате, выданном компетентной организацией на заданный срок. Получив такой сертификат, пользователь может, например, разрешить передачу на свой компьютер и активизацию различных выполняемых кодов или, в свою очередь, предоставить компании какие-либо конфиденциальные данные. Подделав сертификат, все эти действия может инициировать и злоумышленник.

Дыра в IE с 5 по 6 версий была обнаружена 26 ноября, о чем Microsoft сразу же была поставлена в известность. Корпорация попросила не разглашать информацию до выхода патча, на разработку которого потребуется некоторое время. Однако патч до сих пор не вышел. Вместо этого Microsoft присылает E-matters некие сложные и пространные описания и разъяснения, проверить которые без исходного кода IE невозможно.

Сразу поле Рождества 25 декабря E-matters стало известно, что такого же типа дыра была обнаружена компанией ACROS два года назад. Спустя полгода Microsoft все же изготовила патч для IE 4 и ранней версии 5.0. Однако последующие версии снова оказались дырявыми.

Пока не выпущена заплатка, распознать подделку можно лишь визуально: домен, указанный в сертификате, не будет совпадать с фактическим адресом сайта.

Функция Authenticode, реализующая работу с цифровыми сертификатами в IE, автоматически такую проверку не делает. А проверять сертификаты в "ручном" режиме будут только параноики, отметил обнаруживший дыру Штэфан Эссер.