Kolejne błędy bezpieczeństwa w produktach Microsoftu

Karsten Sohr, naukowiec z uniwersytetu w Marburgu (Niemcy), wykrył błąd w maszynie wirtualnej Javy Microsoftu (JVM), zaliczany przez ekspertów do kategorii "poważnych usterek związanych z bezpieczeństwem". Dotyczy on najnowszych wersji JVM dla Windows, wykorzystywanej m.in. w Internet Explorerze, Outlooku i programie pocztowym Eudora.

Karsten Sohr, naukowiec z uniwersytetu w Marburgu (Niemcy), wykrył błąd w maszynie wirtualnej Javy Microsoftu (JVM), zaliczany przez ekspertów do kategorii "poważnych usterek związanych z bezpieczeństwem". Dotyczy on najnowszych wersji JVM dla Windows, wykorzystywanej m.in. w Internet Explorerze, Outlooku i programie pocztowym Eudora.

Błąd, potwierdzony przez specjalistów z uniwersytetu Princeton i firmy konsultingowej Reliable Software Technologies, znajduje się w module weryfikującym kod bajtowy w JVM. "Dziura" ta umożliwia przygotowanie takiego apletu Javy, który omija zabezpieczenia JVM i udostępnia niepowołanym osobom dane czy pozwala na modyfikowanie i usuwanie plików znajdujących się na komputerze użytkownika.

Microsoft opracowuje już odpowiednią łatę. Gdy prace nad nią zostaną zakończone, zostanie ona umieszczona na jego stronie WWW poświęconej Javie.

Nie jest to jednak jedyny błąd wykryty w ostatnich dniach w produktach Microsoftu. Georgi Guninski, bułgarski programista słynący z odnajdywania dziur w internetowej przeglądarce producenta Windows, znalazł kolejny poważny błąd bezpieczeństwa w Internet Explorerze.

Tym razem błąd, związany z funkcją Document.ExecCommand, pozwala intruzowi na odczyt plików znajdujących się na dysku twardym użytkownika odwiedzającego odpowiednio spreparowane strony WWW lub otwierającego dokument HTML. Dotyczy wersji 5.0 przeglądarki działającej na platformie Windows NT 4.0 lub Windows 98. G. Guninski twierdzi, że jest to już dwunasta odkryta przez niego luka w systemie bezpieczeństwa przeglądarki Microsoftu.

Do czasu, gdy specjaliści Microsoftu opracują odpowiednią poprawkę, firma zaleca użytkownikom odwiedzanie jedynie znanych im stron WWW i wyłączenie opcji Active Scripting.