Библиотека Интернет Индустрии I2R.ru

Патч для браузера устраняет две лазейки. Первая позволяет злоумышленнику подбрасывать код в компьютер веб-серфера через cookie. Cookies — это мелкие файлы, которые веб-сайты размещают в защищенной области на жестком диске ПК посетителей, чтобы отслеживать повторные визиты. Баг позволяет вводить в cookie скрипты и размещать их в незащищенной области на жестком диске. Программа может быть выполнена при следующем посещении сайта хакера. Благодаря второму багу злоумышленник может поместить на веб-сайте код, автоматически исполняющий программы, уже присутствующие на ПК посетителя. Microsoft оценила обе ошибки как «серьезные» и порекомендовала пользователям версий Internet Explorer 5-6 как можно скорее загрузить новый патч.

Однако Microsoft еще не исправила ошибку, обнаруженную в отладочном компоненте Windows NT и Windows 2000. Она позволяет злоумышленникам получить доступ к серверу с высокими привилегиями и изменять или удалять защищенные файлы. Сообщения об этой ошибке стали появляться в дискуссионных форумах и на других интернет-ресурсах в середине марта, однако в четверг компания Entercept Security Technologies распространила бюллетень, предупреждающий клиентов о данной проблеме, чем вновь привлекла к ней внимание.

Эксперт Entercept Чад Харрингтон (Chad Harrington) считает уровень риска от уязвимости средним, так как злоумышленник должен применять эксплойт непосредственно, а не по интернету. Entercept связывалась с Microsoft по поводу этой проблемы две недели назад и теперь решила предать ее гласности, так как пока Microsoft готовит ответ, новость может распространиться. «Мы просто проинформировали людей о том, что уже не является секретом для хакеров, — сказал Харрингтон. — Вообще-то мы не считаем, что специалисты по безопасности должны разглашать информацию об уязвимостях, пока производитель ПО не устранит их... но данный случай особый. Яд уже был выпущен».

В заявлении Microsoft говорится, что она все еще изучает вопрос и что Entercept зря подняла тревогу. «Мы обеспокоены тем, что отчет распространен раньше того разумного срока, за который мы могли бы провести исследование. В результате наши заказчики без необходимости введены в замешательство и даже поставлены под удар. Ответственные специалисты по безопасности, подозревая уязвимость, сотрудничают с производителем ПО, чтобы гарантировать, что контрмеры будут выработаны раньше, чем о проблеме станет широко известно и заказчики подвергнутся неоправданному риску».

Microsoft вместе с экспертами по безопасности разрабатывает руководящие материалы, регламентирующие, как и когда следует оповещать пользователей об уязвимостях. Это часть кампании Trustworthy Computing, направленной на усиление внимания разработчиков Microsoft к вопросам безопасности при разработке продуктов.

По словам Харрингтона, временное решение проблемы предложило германское отделение CERT (Computer Emergency Response Team).