Критическая заплатка для Internet Explorer, Интернет

Компьюлента. 25 августа 2003 года, 21:08

Компания Microsoft выпустила новый кумулятивный патч для браузера Internet Explorer версий 5.01, 5.5 и 6.0. Подробно он описывается в бюллетене безопасности Microsoft MS03-032. Патч устраняет все ранее обнаруженные в браузере Microsoft дыры, а также три новых уязвимости. Для всех версий Windows кроме Windows Server 2003 патч в целом охарактеризован как критический. Для Windows Server 2003, где по умолчанию Internet Explorer работает в режиме повышенной безопасности, патч характеризуется Microsoft как умеренно важный (moderate).

Первая из новых дыр связана с ошибкой в междоменной системе безопасности браузера. Она позволяет управлять взаимодействием нескольких окон с сайтами, расположенными в одном и том же или разных доменах. Из-за ошибки в реализации подобной модели применительно к кэшу браузера злоумышленник может выполнить любой скрипт в зоне My Computer. Кроме того, он может запускать локальные приложения и просматривать файлы на локальных дисках. Данной дыре присвоен рейтинг важной.

Вторая из новых дыр связана с тем, что браузер не всегда способен правильно определить тип объекта, возвращаемого ему веб-сервером. Для использования дыры атакующий должен заманить пользователя на страницу с использующим дыру кодом или прислать такую страницу по электронной почте. В случае успеха хакер сможет выполнить на пораженном компьютере произвольный код. Данная дыра также является критической для всех платформ кроме Windows Server 2003.

Третья из новых дыр связана с серьезной ошибкой в модуле ActiveX BR549.DLL. Этот модуль предназначен для инструмента Windows Reporting Tool, который больше не используется в Internet Explorer. По этой причине в Microsoft не стали устранять дыру, а включили в кумулятивный патч так называемый kill bit - код, предотвращающий запуск и повторную установку уязвимого модуля. Сама по себе дыра в BR549.DLL позволяет хакеру запускать на компьютере произвольный код, из-за чего ей присвоен рейтинг критической.

Кроме этого в кумулятивном патче содержатся исправления, повышающие стабильность работы браузера. В частности, были внесены исправления в модуль рендеринга веб-страниц - были устранены ошибки, приводящие к "падению" браузера при просмотре некоторых страниц. Помимо этого в патч были включены исправления для ранее выпущенного патча, исправляющего ошибку, описанную в бюллетене безопасности MS-003-20. Изменения связаны с реализацией патча для ряда локализованных версий Windows.