В недавно выпущенном втором пакете обновлений для операционной системы Microsoft Windows ХР обнаружены две уязвимости. Как сообщается на немецком сайте Heise Security (http://www.heise.de/), проблема связана с неправильной работой Windows Explorer, который в ряде случаев не способен выдать предупреж
ение при открытии сомнительных файлов.
Дело в том, что в состав второго сервис-пака включена функция, которая предупреждает пользователей при запуске приложений, загруженных из интернета или полученных по электронной почте. Напомним, что браузер Internet Explorer позволяет присваивать различный уровень безопасности для различных зон. В результате, файлы, загруженные, например, из локальной сети, будут маркироваться как “надежные”, тогда как при запуске программы, загруженной из интернета, на экран будет выведено дополнительное уведомление.
При этом с каждым потенциально опасным файлом сопоставляется идентификатор зоны ZoneID, который и проверяется операционной системой при попытке запуска приложения. Однако ошибка во втором пакете обновлений позволяет обойти ограничения на запуск, в результате чего вредоносный код может быть выполнен даже тогда, когда идентификатор ZoneID указывает на необходимость вывода диалогового окна.
Вторая дыра также связана с идентификатором ZoneID. Уязвимость проявляется в том случае, если опасный файл был перезаписан на место какого-либо другого файла, имеющего не столь высокий уровень защиты. При выполнении данной операции не происходит обновления кэша, и вредоносная программа также запускается безо всяких предупреждений.
Корпорации Microsoft уже известно о наличии проблем с безопасностью во втором сервис-паке, однако разрабатывать заплатку софтверный гигант не собирается. В сообщении, полученном из центра безопасности корпорации, в частности, значится, что обнаруженные дыры “не являются достаточно серьезными, для того чтобы выпускать для них специальные патчи”. Впрочем, действительно, описанные выше уязвимости не могут быть задействованы удаленно и требуют выполнения определенных действий пользователем.