В среду Microsoft опубликовала поправку для Internet Explorer, устраняющую обнаруженный месяц назад пробел в защите браузера, который использовался для распространения вирусов и атак на ПК через рекламные баннеры.
Уязвимость, которую Microsoft называет ошибкой Internet Explorer Elements, известна
как iFrame. Проблема – которая не касается систем Microsoft Windows ХР с установленным обновлением Service Pack 2 – позволяет злоумышленникам перехватывать управление ПК, если пользователь зарегистрирован в системе с правами администратора. Пользователи домашних компьютеров обычно так и поступают.
Представитель Microsoft сказал, что софтверный гигант выпустил поправку, не дожидаясь срока очередного планового обновления, который приходится на 7 декабря, поскольку данная ошибка уже используется злоумышленниками для атак на персональные компьютеры. “Это один из факторов, которые мы учитываем – когда ведутся активные атаки и заказчики могут пострадать”, – пояснил Стивен Тулуз, менеджер программы безопасности Microsoft Security Response Center.
Уязвимость может применяться для перехвата управления компьютером, когда жертва открывает простую веб-ссылку. В результате атаки злоумышленник получает возможность устанавливать программы, просматривать, модифицировать или удалять данные и создавать новые учетные записи.
Поправка вышла более чем через месяц после первой публикации об уязвимости iFrame в открытых списках рассылки, посвященных компьютерной безопасности. Microsoft обрушилась на исследователей с критикой, призывая их давать разработчикам хотя бы месяц на исправление проблем, прежде чем обнародовать информацию о них в публичных форумах.
Данная ошибка IE подчеркивает, пишет ZDNET, что вновь обнаруженные уязвимости очень быстро начинают применять для атак на пользовательские ПК. В начале ноября в интернете появились два компьютерных вируса, использующие уязвимость браузера Microsoft для заражения ПК – Bofra.A и Bofra.B, которые опираются на исходный код вируса MyDoom. Кроме того, на прошлой неделе злоумышленники взломали по крайней мере один сервер рекламной сети Falk и использовали его для атак на клиентов этой службы, включая посетителей сайта технологических новостей и обсуждений The Register.
Ошибка IE Elements влияет на ПК с IE версии 6, если на них не установлен Service Pack 2. По словам Тулуза из Microsoft, это последнее обновление Windows ХР претерпело свыше 130 млн загрузок.
Последнее обновление для IE 6 можно загрузить с секьюрити-сайта Microsoft (http://www.microsoft.com/security/bulletins/200412_windows.mspx) или через Windows Update.