Internet Explorer: załataj krytyczne dziury!
- Daniel Cieślak,
- 03.02.2004, godz. 10:05
Microsoft udostępnił uaktualnienie, usuwające trzy błędy w zabezpieczeniach przeglądarki Internet Explorer - jeden z nich określono jako "krytyczny". Wiadomo już, że "dziury" te były już wykorzystywane do atakowania internautów. Patch opublikowany został poza normalnym, miesięcznym cyklem udostępniania uaktualnień - przedstawiciele firmy tłumaczą, że błędy są zbyt niebezpieczne dla użytkowników i należy natychmiast je "załatać".
Patch ma również zadanie dodatkowe - zmienia on zasady działania jednej z funkcjonalności przeglądarki. Mowa tu o podstawowym systemie autoryzacji użytkownika podczas logowania się na stronach internetowych, polegającym na umieszczeniu nazwy użytkownika i hasła w adresie URL (z wykorzystaniem znaku @). Microsoft poinformował, że zainstalowanie patcha automatycznie usunie tę opcję.
Uaktualnienie zawiera właściwie trzy łatki - jedną "krytyczną" i dwie "ważne". Dwie z nich usuwają błędy, umożliwiające nieautoryzowanemu użytkownikowi na uruchomienie dowolnego kodu na zaatakowanej maszynie (a w konsekwencji - nawet na przejęcie nad nią kontroli). Trzecia łata usuwa znany od dawna błąd, umożliwiający "zamaskowanie" właściwego adresu strony WWW.
Zobacz również:
Ten ostatni patch wydaje się najważniejszy, ponieważ łatana przez niego dziura wykryta została już w ubiegłym roku i Microsoft wyjątkowo długo zwlekał z opublikowaniem stosownej łatki. Przedstawiciele firmy tłumaczą jednak, że opóźnienie spowodowane było koniecznością dokładnego zbadania problemu oraz starannego przetestowania gotowego już od jakiegoś czasu patcha.
Problem dotyczy przeglądarki Internet Explorer w wersji 5.01. 5.5 oraz 6, dlatego też Microsoft zaleca użytkownikom jak najszybsze zainstalowanie uaktualnienia - można to zrobić za pośrednictwem mechanizmu WindowsUpdate (metoda zalecana przez koncern) lub poprzez pobranie i zainstalowanie udostępnionego w serwisie internetowym firmy patcha:
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS04-004.asp
Warto przypomnieć, że strony internetowe Microsoftu mają stać się dziś celem ataku DoS (Denial of Service) przeprowadzonego z komputerów zainfekowanych przez robaka MyDoom.B (więcej na ten temat:http://www.idg.pl/news/watek/35.html ) - jednak w chwili publikowania tego tekstu nie było żadnych problemów z dostaniem się na strony koncernu.