Microsoft: критическая ошибка безопасности есть во всех версиях IE

15.12.2008 11:24 | Павел Михайлов

На прошлой неделе компания Microsoft предупредила пользователей Internet Explorer 7 о наличии в браузере критической ошибки, использующейся хакерами, и в качестве решения предложила выполнить ряд настроек, касающихся уровня безопасности, скриптов и защиты памяти. Однако чуть позже датская исследовательская компания заявила, что указанные меры борьбы недостаточны, а, помимо того, сама Microsoft заявила о наличии критической ошибки не только в IE7, но и во всех более ранних и поздних версиях браузера, включая IE5.01, IE6, IE7, и даже IE8 Beta 2.

По заявлению Microsoft, компьютеры всех людей, использующих указанные выше браузеры под операционными системами Windows 2000, XP, Vista, Server 2003 и Server 2008, находятся под угрозой. Таким образом, ранее сказанные компанией слова об “ограниченном числе атак, пытающихся использовать эту уязвимость”, мягко говоря, были преуменьшены. В этот раз, однако, компания заявила, что нашла корень проблемы, который, по ее словам, кроется не в коде рендеринга HTML, а в функциональности компоновки данных, использующейся в IE. “Уязвимость существует в виде ошибочной ссылки указателя в функции объединения данных в Internet Explorer”, заявила Microsoft. “Когда объединение данных включено (что является состоянием по умолчанию), то при определенных условиях, есть возможность выпускать объекты без обновления длины массива, оставляя возможности для доступа к удаленному пространству памяти объекта. Это может приводить к внезапному переходу Internet Explorer в состояние, подверженное работе эксплоита”.

Компания заявила, что ошибка содержится в библиотеке “oledb32.dll”, которая сама по себе является компонентом Microsoft Data Access – набора технологий для доступа к различным типам данных. В качестве решения Microsoft пока порекомендовала “отключить или сделать непригодными функции этой библиотеки”, однако патча, исправляющего эту уязвимость пока не выпустила. Аналогичное решение пока предлагают и другие исследовательские компании, вроде копенгагенской Secunia APS. Сделать это можно командой , однако, по мнению некоторых людей, отключение oledb32.dll может стать причиной множества других проблем – ведь эта библиотека не относится к числу библиотек только Internet Explorer и используется множеством других приложений.

Пока неизвестно, когда Microsoft выпустит обновление безопасности. Впрочем, аналитики считают, что довольно скоро, поэтому “нам надо всего лишь подождать”. Кстати говоря, таких “нас” довольно много. По ноябрьским данным Net Applications Inc. браузеры IE все еще широко используются – объем их использования достигает 69.8%.

www.winline.ru

публикации сходной тематики

Комментирование закрыто.

 

При наполнении сайта использована информация из открытых источников. Владелец сайта не несет ответственности за недостоверную и заведомо ложную информацию размещенную на страницах сайта. При использовании информации опубликованной на нашем сайте, ссылка обязательна.

Реклама на сайте: