Xakep #305. Многошаговые SQL-инъекции
Эксперты предупреждают, что
непропатченная уязвимость в
браузере Internet Explorer затрагивает большее число его версий, чем
считалось ранее, а меры, которые пользователям следует предпринять, жестче, чем
изначально предполагалось.
Согласно
обновленной версии предупреждения, опубликованной редмондским гигантом,
брешь в безопасности затрагивает версии IE 5.01, 6, и 8. Ранее в Microsoft
полагали, что уязвимость присуща лишь браузеру IE 7. Дыра может использоваться
хакерами на всех версиях операционных систем Windows.
Более того, как выясняется, предписанные корпорацией меры, касающиеся Vista
User Account Control, не в состоянии полностью оградить от этой атаки. Не
гарантируют от деятельности киберпреступников и отключение скриптов и установка
уровня безопасности на максимум. При этом ранее опубликованная информация о том,
что уязвимость связана с обработкой XML, не является полностью достоверной,
поскольку истинная причина кроется в самой процедуре обработки взаимосвязей, и
наличие в эксплоите XML вовсе необязательно.
На данный момент остается неясным, выпустит ли Microsoft связанное с этой
дырой внеочередное обновление, так как число касающихся ее атак сравнительно
невелико и преимущественно затрагивает пользователей, проживающих в КНР. Однако
до момента выхода обновления западные ресурсы категорически рекомендуют своим
читателям воздержаться от использования IE.