Microsoft: критическая ошибка безопасности есть во всех версиях IE

На прошлой неделе компания Microsoft предупредила пользователей Internet Explorer 7 о наличии в браузере критической ошибки, использующейся хакерами. Однако чуть позже сама Microsoft заявила о наличии критической ошибки не только в IE7, но и во всех более ранних и поздних версиях браузера, включая IE5.01, IE6, IE7, и даже IE8 Beta 2.

15.12.2008 11:24

На прошлой неделе компания Microsoft предупредила пользователей Internet Explorer 7 о наличии в браузере критической ошибки, использующейся хакерами, и в качестве решения предложила выполнить ряд настроек, касающихся уровня безопасности, скриптов и защиты памяти. Однако чуть позже датская исследовательская компания заявила, что указанные меры борьбы недостаточны, а, кроме того, сама Microsoft заявила о наличии критической ошибки не только в IE7, но и во всех более ранних и поздних версиях браузера, включая IE5.01, IE6, IE7, и даже IE8 Beta 2.

По заявлению Microsoft, компьютеры всех людей, использующих указанные выше браузеры под операционными системами Windows 2000, XP, Vista, Server 2003 и Server 2008, находятся под угрозой. Таким образом, ранее сказанные компанией слова об “ограниченном числе атак, пытающихся использовать эту уязвимость”, мягко говоря, были преуменьшены. В этот раз, однако, компания заявила, что нашла корень проблемы, который, по ее словам, кроется не в коде рендеринга HTML, а в функциональности компоновки данных, использующейся в IE. “Уязвимость существует в виде ошибочной ссылки указателя в функции объединения данных в Internet Explorer”, заявила Microsoft. “Когда объединение данных включено (что является состоянием по умолчанию), то при определенных условиях, есть возможность выпускать объекты без обновления длины массива, оставляя потенциал для доступа к удаленному пространству памяти объекта. Это может приводить к внезапному переходу Internet Explorer в состояние, подверженное работе эксплоита”.

Компания заявила, что ошибка содержится в библиотеке “oledb32.dll”, которая сама по себе является компонентом Microsoft Data Access – набора технологий для доступа к различным типам данных. В качестве решения Microsoft пока порекомендовала “отключить или сделать непригодными функции этой библиотеки”, однако патча, исправляющего эту уязвимость пока не выпустила. Аналогичное решение пока предлагают и другие исследовательские компании, вроде копенгагенской Secunia APS. Сделать это можно командой <<Regsvr32.exe /u "Program FilesCommon FilesSystemOle DBoledb32.dll">>, однако, по мнению некоторых людей, отключение oledb32.dll может стать причиной множества других проблем – ведь эта библиотека не относится к числу библиотек только Internet Explorer и используется множеством других приложений.

Пока неизвестно, когда Microsoft выпустит обновление безопасности. Впрочем, аналитики считают, что довольно скоро, поэтому “нам необходимо всего лишь подождать”. Кстати говоря, таких “нас” довольно много. По ноябрьским данным Net Applications Inc. браузеры IE все еще широко используются – объем их использования достигает 69.8%.

Теги:  Microsoft
Оцените материал:  
(Голосов: 3, Рейтинг: 3.48)

Каждый вечер мы будем присылать вам одно письмо со всеми опубликованными за день материалами. Нет материалов - нет писем, просто и удобно (другие варианты).

Материалы по теме


Комментарии (0)