Хакер #305. Многошаговые SQL-инъекции
Вчера Microsoft наконец-то
опубликовала поправку для Internet Explorer,
устраняющую обнаруженный месяц назад
пробел в защите браузера, который
использовался для распространения вирусов
и атак на ПК через рекламные баннеры.
Уязвимость, которую Microsoft называет ошибкой
Internet Explorer Elements, известна как iFrame. Проблема —
которая не касается систем Microsoft Windows ХР с
установленным обновлением Service Pack 2 —
позволяет злоумышленникам перехватывать
управление ПК, если пользователь
зарегистрирован в системе с правами
администратора. Пользователи домашних
компьютеров обычно так и поступают.
Представитель Microsoft сказал, что софтверный
гигант выпустил поправку, не дожидаясь
срока очередного планового обновления,
который приходится на 7 декабря, поскольку
данная ошибка уже используется
злоумышленниками для атак на персональные
компьютеры. «Это один из факторов, которые
мы учитываем — когда ведутся активные
атаки и заказчики могут пострадать», —
пояснил Стивен Тулуз, менеджер программы
безопасности Microsoft Security Response Center.
Уязвимость может применяться для перехвата
управления компьютером, когда жертва
открывает простую веб-ссылку. В результате
атаки злоумышленник получает возможность
устанавливать программы, просматривать,
модифицировать или удалять данные и
создавать новые учетные записи. Поправка
вышла более чем через месяц после первой
публикации об уязвимости iFrame в открытых
списках рассылки, посвященных компьютерной
безопасности. Microsoft обрушилась на
исследователей с критикой, призывая их
давать разработчикам хотя бы месяц на
исправление проблем, прежде чем
обнародовать информацию о них в публичных
форумах.