Sześć "krytycznych" dziur IE

Microsoft udostępnił uaktualnienie usuwające aż 6, niedawno odkrytych luk w systemie zabezpieczeń Internet Explorera. 4 z nich określane są przez koncern jako "krytyczne".

Pierwsza z usterek dotyczy obsługi skryptów przez IE. Wykorzystujący tę lukę haker może spowodować, że skrypt uruchomiony po stronie serwera internetowego będzie traktowany jak skrypt uruchomiony lokalnie. Działałby więc z innymi, mniej rygorystycznymi ustawieniami stref bezpieczeństwa. W efekcie haker może uzyskać dostęp do danych znajdujących się na komputerze ofiary. Czynnikiem zmniejszającym nieco zagrożenie wynikające z tej usterki jest fakt, że aby skrypt taki został uruchomiony, użytkownik musi kliknąć w prowadzący do niego odnośnik. W efekcie haker może uzyskać dostęp do danych znajdujących się na komputerze ofiary.

Zobacz również:

• Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
• WordPress 6.5 trafia na rynek. Oto 5 najważniejszych zmian
• Usługa Threads będzie wkrótce dostępna w wersji webowej

Wykorzystanie przez hakera drugiej luki także może dać mu dostęp (tylko do odczytu) do danych ofiary. Usterkę wykryto w sposobie, w jaki polecenie HTML Object obsługuje arkusze stylów (CSS). Luka może być wykorzystana poprzez specjalnej strony WWW, zawierającej odpowiednie procedury uruchamiane po wejściu na nią użytkownika korzystającego z IE. Aby jednak haker mógł odczytać dane z komputera ofiary, musi znać ich dokładną lokalizację.

Kolejna luka znajduje się w sposobie obsługi przez Explorera skryptów zapisanych w plikach cookie. Haker może stworzyć taki plik cookie, który pozwoli mu na uzyskanie dostępu do danych na dysku lokalnym ofiary. Podobnie jak w poprzednim przypadku, do uzyskania takiego dostępu konieczna jest znajomość dokładnej lokalizacji danego pliku.

Następna usterka powoduje, że strona internetowa może omyłkowo zostać zaklasyfikowana przez Explorera jako znajdująca się w strefie intranetowej (a w ekstremalnych przypadkach nawet wśród tzw. Serwisów Zaufanych). Strony takie uruchamiane są z dużo mniej rygorystycznymi ustawieniami stref bezpieczeństwa, haker może więc uzyskać dostęp do danych znajdujących się na dysku ofiary.

Efektem kolejnej luki jest możliwość potraktowania przez Explorera pliku wykonywalnego jako pliku przeznaczonego do automatycznego uruchamiania. W efekcie haker może "podsunąć" przeglądarce dowolny program, np. wirusa lub konia trojańskiego.

Ostatnia z nowych usterek dotyczy jedynie starszych wersji klientów poczty elektronicznej. Umożliwia ona automatyczne uruchomienie skryptu znajdującego się w wiadomości e-mail w formacie HTML. Skrypt taki może umożliwić hakerowy dostęp do danych znajdujących się na dysku ofiary.

Więcej informacji i patch usuwający te (oraz wszystkie wykryte do tej pory) usterki można pobrać pod astępującym adresem: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-023.asp