Обнаружена очередная уязвимость в браузере Internet Explorer. Злоумышленники получили еще один способ воровать персональные сведения пользователей.
Дыра представляет угрозу для пользователей IE версий 5 и 6, работающих под управлением операционных систем Windows 2000 Professional и Windows XP Professional. Для проведения атаки достаточно заманить жертву на сформированный определенным образом сайт. Название самой ссылки и даже внешний вид вредоносной страницы могут быть позаимствованы у какого-либо заслуживающего доверия сайта.
Об опасности этой бреши рассказывает Дмитрий Леонов, создатель сайта BugTraq.Ru:
"Я бы назвал ее умеренно опасной. Чтобы ее реализовать, мне нужно подготовить некий сайт, открывающий во фрейме страницу, на которой пользователи вводят некую критичную информацию, скажем, страницу входа в управление своим счетом. Далее нужно каким-то образом заманить жертву на свой сайт, причем так, чтобы она не отличила его от настоящего.
Заманивание проще всего осуществить почтовой рассылкой, имитацию работы с оригинальным сайтом - с помощью недавно заблокированной в IE техники подделки адресов вида http://www.goodsite.com@www.evilsite.com, усугубленной опять же недавно исправленными уязвимостями IE. Таким образом, под угрозой, в первую очередь, оказываются пользователи, доверчиво открывающие ссылки из непроверенных источников. Естественно, усугубляющий фактор - отсутствие последних исправлений.
Что касается ситуации с бесконечными уязвимостями и патчами - такова объективная реальность. Ошибки - неизбежная цена возрастающей сложности современного программного обеспечения, примером чему являются абсолютно все существующие платформы. Ну, а дальше начинается традиционная война щита и меча. Небольшим утешением может служить то, что ошибкам, связанным с безопасностью, в последнее время все-таки стали уделять больше внимания".
версия для печати
другие статьи автора
оставить комментарий (0) 
