Microsoft не успела залатать "дыры" в IE

Microsoft до сих пор не выпустила заплатку для трех уязвимостей в Internet Explorer, которые представляют серьезную угрозу для пользователей. За корпорацию это сделали сторонние компании, занимающиеся ИТ-безопасностью.

Компании eEye Digital Security и Determina, занимающиеся информационной безопасностью выпустили заплатку к критической уязвимости в Internet Explorer 6. Microsoft не советует пользоваться этим кодом и подождать до официального очередного обновления 11 апреля, однако уязвимостью уже пользуются сотни хакеров, заражая тысячи компьютеров по всему миру.

Три уязвимости в IE были обнаружены в начале 20-х чисел марта. Самая серьезная - ошибка в свойстве JavaScript "CreateTextRange" - позволяет выполнить произвольный код, скрытый в веб-странице, без ведома и участия пользователя.

Сооснователь eEye и директор по вопросам компьютерной безопасности Марк Майффрет (Marc Maiffret) сказал, что заплатка - временное решение, которое самоустранится после установки обновления от Microsoft.

Хотя Microsoft преуменьшает угрозу, только одна компания ИТ-безопасности, Websense, насчитала более 200 сайтов, эксплуатирующих уязвимость. В блоге по безопасности корпорация заявила о работе с силовыми ведомствами разных стран по закрытию таких веб-сайтов. В выпускаемых Microsoft бюллетенях по безопасности корпорация преуменьшила опасность уязвимость: "Пока атаки ограничены по масштабу".

Напомним, что Microsoft обычно выпускает обновления для системы безопасности каждый месяц, и сейчас команда разработчиков работает над "заплатками" для новых уязвимостей, чтобы включить их в состав следующего пакета обновления 11 апреля. Однако утверждается, что при существенном росте опасности патчи выйдут раньше.

30.03.2006