В действительности в плане безопасности своих браузеров Microsoft обладает довольно хорошим послужным списком, но под чрезвычайным давлением со стороны обеспечения безопасности миллионов пользователей, даже в ее защите обнаруживаются бреши. Так, например, случилось с новой уязвимостью в Microsoft Internet Explorer, наличие которой крупнейший программный производитель признал на прошлой неделе.
В описании к новой бреши сказано, что ей является ”неверный указатель в Internet Explorer”, к которому при определенных условиях после удаления объекта можно обратиться. В результате же хакеры могут использовать эту уязвимость для удаленного выполнения кода.
Впервые о наличии этой уязвимости рассказал представитель компании McAfee Джордж Куртц (George Kurtz). В блоге безопасности он не только дал более подробное описание самой уязвимости, но и заявил, что именно она использовалась хакерами при атаке на Google, закончившейся кражей информации. Вообще говоря, это совсем не обычно. Ведь обычно подобные уязвимости используются лишь для атаках на отдельных пользователей сети.
В то же время атака на Google была направленной и необычно сложной. Так, вице-президент по исследованиям в McAfee Дмитрий Альперович (Dmitri Alperovitch) сказал, что они “никогда не видели атак такой сложности в коммерческой области. Ранее мы видели их лишь в области политики”.
Отдельно стоит отметить еще одно необычное обстоятельство. Несмотря на то, что Google разработал (и продолжает разрабатывать) свой собственный браузер Chrome, на многих корпоративных компьютерах крупнейшего поискового гиганта стоял конкурирующий браузер Microsoft Internet Explorer. При этом в Internet Explorer 8 по умолчанию включено предотвращение выполнения кода (DEP). И для того, чтобы обнаруженная вышеупомянутая уязвимость работала, в этом браузере необходимо было DEP отключить. Поэтому, похоже, что работники Google все еще используют IE 6 или IE 7, что, вообще-то неудивительно – ведь переход мира бизнеса на IE 8 идет очень медленно.
В целом уязвимость присутствует во всех последних браузерах Internet Explorer. Это и Internet Explorer 6 Service Pack 1 на Microsoft Windows 2000 Service Pack 4, и Internet Explorer 6, Internet Explorer 7 и Internet Explorer 8 на поддерживаемых версиях Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2.
Тем не менее, Microsoft уже работает над решением проблемы. Впрочем, когда выйдет обновление безопасности пока не ясно. Известно лишь, что следующий набор обновлений безопасности должен выйти 9-го февраля. Пока же пользователям рекомендуется перейти на IE 8 или же включить DEP в IE 7. В то же время для комплексного решения проблемы пользователи могут просто перейти на какой-либо альтернативный браузер, вроде Firefoх, Opera или же Chrome.
Комментарии (0)