Спасите "ослика" и "лисичку" – Secunia указывает на уязвимости в браузерах

11 января 2005, вторник 21:41
Компания Secunia, специализирующаяся на проблемах безопасности программного обеспечения, указывает на уязвимости в двух наиболее популярных на сегодняшний день браузерах – Mozilla Firefox и Internet Explorer 6.0, причем у последнего она получила наивысшую оценку критичности.

Использование уязвимостей в IE может позволить потенциальному злоумышленнику проникнуть в систему в обход политики безопасности Microsoft Windows XP SP2. На данный момент Secunia указала на три наиболее опасных дыры в системе:

  1. Недостаточный контроль при перемещении из одной зоны в другую, в частности из зоны Интернет до локальных ресурсов. Злоумышленник может использовать данную уязвимость для запуска документов, содержащих произвольный код, находясь в зоне "Местная Интрасеть". Напомню лишь, что Windows XP SP2 не позволяет использование Active Scripts в локальной зоне.
  2. Ошибка безопасности при обработке запроса "См. также" в HTML Help, может позволить злонамеренному веб-сайту выполнить произвольный код на уязвимой системе.
  3. Еще одна ошибка безопасности также связана с HTML Help, злоумышленник может выполнить произвольный код на основе предыдущего загруженного документа.

Secunia провела специальный тест для оценки реальной угрозы уязвимостей. В результате чего были получены данные, указывающие на незащищенность системы на основе Windows XP и Internet Explorer 6.0 с самыми последними обновлениями и заплатками. В качестве решения Secunia рекомендует полностью (!) перейти на другой программный продукт. В качестве альтернативы предлагается поставить самый высокий уровень безопасности для зоны "Интернет", но это не решит проблему окончательно. Корпорация Microsoft пока никак не отреагировала.

Уязвимость, обнаруженная в Mozilla/ Mozilla Firefox, получила низший уровень опасности. Проблема связана с возможной подменой адреса в диалоге закачек. В качестве решения предлагается использовать специальные download-менеджеры или закачивать файлы только из доверенных источников. Уязвимость обнаружена в Mozilla 1.7.3 для Linux, Mozilla 1.7.5 для Windows и в Mozilla Firefox 1.0. Возможно, что дыра распространяется и на другие версии программы.

Дополнительные источники информации об уязвимостях:

Оценитe материал

Возможно вас заинтересует

Сейчас обсуждают