Kolejne poważne dziury w IE

Microsoft udostępnił łatkę, naprawiającą dwie, jak określa sam producent, krytyczne wady, wykryte ostatnio w przeglądarce Internet Explorer w wersjach 5.0, 5.5 oraz 6.0. Jest to zbiorcze uaktualnienie, zawierające także wszystkie poprawki błędów (w tym niektóre również określane jako krytyczne), publikowane do tej pory. Są to m.in. poprawki błędów, umożliwiających hakerowi przejęcie kontroli nad komputerem ofiary i uruchamianie na nim dowolnych programów, np. kasujących zawartość dysku twardego.

Pierwszy z błędów umożliwia umieszczenie w kodzie strony WWW instrukcji, uruchamiających dowolny program wykonywalny, zapisany na dysku użytkownika. Jest to dość trudne do wykonania, ponieważ trzeba znać nazwę pliku i oraz jego dokładną lokalizację na dysku. Microsoft uspokaja również, że nie ma możliwości uruchomienia programu z dodatkowym parametrem, i że nie znany jest żaden program, który uruchamiany bez odpowiednich parametrów, mógłby wyrządzić jakieś szkody w systemie operacyjnym.

Drugi, poważniejszy błąd występuje w obsłudze stref bezpieczeństwa i pozwala na uruchomienie skryptu bez odpowiednich restrykcji w dostępie do zasobów komputera, np. twardego dysku. Problem dotyczy skryptów umieszczanych w plikach cookies, które są przechowywane lokalnie na komputerze użytkownika. W normalnej sytuacji skrypty uruchamiane są w strefie internetowej, ograniczającej dostęp skryptów do określonych zasobów. Przy uruchomieniu skryptu zapisanego w pliku cookies, będzie on działać w strefie lokalnej, dającej programom pełne uprawnienia aktualnie zalogowanego do systemu użytkownika.