Датская компания Secunia в воскресенье предупредила, что баг в бесплатном
антивирусном онлайн-сканере Trend Micro может быть использован хакерами для
взлома компьютера под управлением Windows с запущенным на нем Internet Explorer.
Хакеры, заманившие пользователей на подставную веб-страницу, могут
использовать уязвимость в элементе управления ActiveX, который Trend Micro
распространяет среди пользователей бесплатного сервиса HouseCall.
HouseCall - это сервис, позиционируемый как бесплатный инструмент
сканирования, который проверяет, "не заражен ли ваш компьютер вирусами,
шпионским или иным вредоносным ПО".
В предупреждении Secunia говорится, что уязвимость связана с ошибкой
предоставления доступа к освобожденной памяти в элементе управления ActiveX под
названием Housecall_ActiveX.dll. Эта ошибка может быть использована для
обнуления ссылки на ранее освобожденную память в случае, если пользователя
заманили на подложную веб-страницу, содержащую специальную функцию
notifyOnLoadNative.
В Trend Micro уже закрыли эту дыру и пропатчили публичные серверы сервиса
HouseCall, заметив при этом, что исчерпывающего тестирования заплатки не
проводилось. Таким образом, компания фактически сняла с себя ответственность за
возможные недоработки. В Secunia подчеркнули, что пользователям Microsoft
Internet Explorer (единственного браузера, который требует для корректного
функционирования сервиса наличия элементов управления ActiveX) следует
использовать версию 6.6 указанного онлайн-сканера.
