Rambler's Top100 Service

РАЗДЕЛЫ ПОРТАЛА
  Главная страница
Бесплатная документация
Форумы
ГОРЯЧАЯ НОВОСТЬ
 

11 Jul (00:52)
Windows 2000 Service Pack 4
Очередные подробности

Архив...
ЛАБОРАТОРИЯ
  Место где решаются Ваши проблемы

Сейчас в Лаборатории
Компаний: 1414
Экспертов: 600

Вход
для пользователей
для экспертов

Как работает Лаборатория?
НОВОСТИ КОМПАНИЙ
 

26 May (18:12)
Семинар "Создание эффективных веб-сайтов"


29 Apr (00:08)
Интернет-сайт компании: удобное средство для заработка денег или дополнительные накладные расходы?

15 Apr (00:26)
Три источника, три составные части Intel Centrino

27 Mar (00:10)
Опечатка в публикации ITUnion

24 Mar (00:07)
Новинки промышленной компьютерной техники весны 2003 года

Архив...
СТАТЬИ И ОБЗОРЫ
 

Хакерский детектив
Статья: Конец старой новости

Языки PCL и PostScript

Конференция WinHEC 2003

Longhorn и Blackcomb

Honeypot и сети анализа трендов

Архив...
Назад НаверхВниз
Советуют профессионалы! Совет: Став зарегистрированным пользователем, вы сможете оценить сложность проблемы, получив консультации независимых экспертов в Лаборатории портала.

NEWS.ITUNION.RU НазадНаверхВниз

Кумулятивное обновление IE


Мы уже писали о ключевом (если хотите, критическом) обновлении браузера Internet Explorer, которое кроме прочего является еще и кумулятивным (т.е. в составе этого обновления собраны ранее выпущенные заплатки для браузера). Обновление называется "28 March 2002 Cumulative Patch for Internet Explorer" и кроме устранения старых заплаток исправляет еще две недавно обнаруженные уязвимости (см. Microsoft Security Bulletin MS02-015 по адресу www.microsoft.com/technet/security/bulletin/MS02-015.asp ).

Для загрузки нужно обратится по адресу:

www.microsoft.com/windows/ie/downloads/critical/q319182/download.asp

(выбор России в правом верхнем углу пока не приводит к переводу страницы описания пакета обновления) и выбрать нужную версию браузера. Обновление пригодно для Internet Explorer 6, Internet Explorer 5.5 Service Pack 2, Internet Explorer 5.5 Service Pack 1 и Internet Explorer 5.01 Service Pack 2 for Windows 2000 and NT. Отмена установки обновления не предусмотрена.

Однако перейдем к подзаголовку этой публикации - подробностям. Самое страшное из того, что устраняется обновлением - это уязвимость браузера Internet Explorer, позволяющая Web-странице или сообщению э-почты исполнить сценарий HTML на локальном компьютере, причем не в зоне безопасности Интернета, а в зоне Локальный компьютер, т.е. практически полностью обойти ограничения безопасности, установленные в параметрах браузера.

Сценарий будет исполнятся в правами текущего пользователя, т.е. в самом худшем случае - Администратора компьютера (если переходить на терминологию Windows XP). Ошибка браузера связана с ошибкой программистов Microsoft, которые не подозревали, что после сохранения на локальном компьютере на файл cookie перестают действовать ограничения зоны Интернета.

Еще один недостаток можно использовать для проникновения на чужой компьютер скорее теоретически, чем на практике. В теге объекта на Web-странице или в сообщении э-почты можно указать путь и имя к любому исполняемому файлу компьютера. Причем как и для сценариев, на вызов из тега не действуют ограничения зоны Интернета. Не трудно догадаться, что таким образом можно вызывать только программы из заранее известных мест файловой системы, но "нехорошую" программу еще нужно загрузить в это место, что уже совсем другая история. Но, конечно, можно вызвать Блокнот, запустив файл C:\WINDOWS\NOTEPAD.EXE.

Полная лента новостей NEWS.ITUNION.RU

Вы можете подписаться на ежедневную
бесплатную рассылку IT-новостей:




  Site DESIGN by MIRRON (C) 2000-2001 Rambler's TOP100