Mega-patch dla IE

Microsoft poinformował o kolejnej, dużej łatce do Internet Explorera, naprawiającej aż sześć ostatnio odkrytych błędów w systemie zabezpieczeń, określanych przez producenta jako krytyczne.

Najpoważniejszy ze wspomnianych błędów dotyczy funkcji HTML Directive i umożliwia hakerowi uruchamianie na komputerze ofiary dowolnych programów, np. kasujących zawartość dysku twardego. Tego zagrożenia można uniknąć również bez instalowania patcha - wystarczy jedynie w opcjach internetowych, w zakładce Bezpieczeństwo wyłączyć funkcję Uruchamianie formantów ActiveX i dodatków plug-in.

Kolejna poważna usterka tkwi w mechanizmie pobierania plików. Sprawia ona, że przeglądarka będzie wyświetlać nazwę pliku różną od rzeczywistej, co może skłonić użytkownika do uruchomienia innego programu, niż się spodziewa.

W Explorerze odkryto również nowy wariant błędu w funkcji "Frame Domain Verification", o którym Microsoft informował już wcześniej. Umożliwia on administratorom witryn WWW odczytywanie (bez możliwości kasowania lub zmieniania) za pomocą przeglądarki dokumentów zapisanych na dyskach osób odwiedzających stronę.

Pozostałe błędy pozwalają na uruchamianie skryptów bez akceptacji użytkownika, odczytywanie plików zapisanych na dysku oraz otwieranie plików na stronie WWW przy użyciu dowolnej aplikacji zainstalowanej na komputerze internauty.

Patch jest przeznaczony dla przeglądarki Microsoftu w wersjach 6.0, 5.5 (SP1 i SP2) oraz 5.0 (SP1) i zawiera również poprawki wcześniej wykrytych błędów.