Załatane dziury w IE

Microsoft udostępnił uaktualnienie usuwające 6 niedawno odkrytych luk w systemie zabezpieczeń Internet Explorera. Aż 4 z nich określane są przez firmę jako 'krytyczne'.

Pierwsza z usterek dotyczy obsługi skryptów przez IE. Wykorzystujący tę lukę haker może spowodować, że skrypt uruchomiony po stronie serwera internetowego będzie traktowany jak skrypt uruchomiony lokalnie. Działałby więc z innymi, mniej rygorystycznymi ustawieniami stref bezpieczeństwa. W efekcie haker może uzyskać dostęp do danych znajdujących się na komputerze ofiary. Czynnikiem zmniejszającym nieco zagrożenie wynikające z tej usterki jest fakt, że aby skrypt taki został uruchomiony, użytkownik musi kliknąć w prowadzący do niego odnośnik. W efekcie haker może uzyskać dostęp do danych znajdujących się na komputerze ofiary.

Wykorzystanie przez hakera drugiej luki także może dać mu dostęp (tylko do odczytu) do danych użytkownika. Usterkę wykryto w sposobie, w jaki polecenie HTML Object obsługuje arkusze stylów (CSS). Luka może być wykorzystana poprzez specjalnej strony WWW, zawierającej odpowiednie procedury uruchamiane po wejściu na nią użytkownika korzystającego z IE. Aby jednak haker mógł odczytać dane z komputera ofiary, musi znać ich dokładną lokalizację.

Zobacz również:

Kolejna luka znajduje się w sposobie obsługi przez Explorera skryptów zapisanych w plikach cookie. Haker może stworzyć taki plik cookie, który pozwoli mu na uzyskanie dostępu do danych na dysku lokalnym ofiary. Podobnie jak w poprzednim przypadku, do uzyskania takiego dostępu konieczna jest znajomość dokładnej lokalizacji danego pliku.

Następna usterka powoduje, że strona internetowa może omyłkowo zostać zaklasyfikowana przez Explorera jako znajdująca się w strefie intranetowej (a w niektórych przypadkach nawet wśród tzw. Serwisów Zaufanych). Strony takie uruchamiane są z dużo mniej rygorystycznymi ustawieniami stref bezpieczeństwa, haker ma więc ułatwiony dostęp do danych znajdujących się na dysku ofiary.

Efektem kolejnej luki jest możliwość potraktowania przez Explorera pliku wykonywalnego jako pliku przeznaczonego do automatycznego uruchamiania. W efekcie haker może "podsunąć" przeglądarce dowolny program, np. wirusa lub konia trojańskiego.

Ostatnia z nowych usterek dotyczy jedynie starszych wersji klientów poczty elektronicznej. Umożliwia ona automatyczne uruchomienie skryptu znajdującego się w wiadomości e-mail w formacie HTML. Skrypt taki może umożliwić hakerowy dostęp do danych znajdujących się na dysku ofiary.