На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2004-8-23 на главную / новости от 2004-8-23
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 23 августа 2004 г.

Ошибка в IE открыла новый способ заражения компьютера

Из-за дефекта Internet Explorer люди, посетившие веб-сайт злоумышленника и кликнувшие на картинке, могут, не подозревая об этом, занести в свой ПК вредоносную программу.

Независимый эксперт предупредил, что дефект Internet Explorer превращает механизм drag-and-drop в drag-and-infect — даже на компьютерах с последним обновлением Microsoft. Уязвимость проявляется в Internet Explorer из Windows XP даже после установки Service Pack 2 и позволяет атакующему занести свою программу в компьютер жертвы, заманив ее на свой веб-сайт и убедив кликнуть на изображении.

Программа злоумышленника будет помещена в папку Windows startup и выполнится при следующей перезагрузке системы. Обнаруживший ошибку эксперт, известный под псевдонимом http-equiv, приводит пример, демонстрирующий возможности, которые она открывает. «На веб-странице видны две красные линии и изображение; отбуксируйте изображение через обе линии и отпустите его, — пишет он. — На самом деле вы перенесли программу в свою папку startup. Она запустится, как только вы включите компьютер в следующий раз».

Компания Secunia утверждает, что эксплойт, использующий эту проблему, можно упростить еще больше, так что пользователю достаточно будет просто кликнуть на изображении. Secunia оценивает уязвимость как «высоко критическую» — это второй после самого высокого уровень опасности по ее шкале.

В Microsoft сказали, что проблема не представляет серьезной опасности для пользователей, так как атакующий должен заманить его на свой сайт и вынудить на активные действия. «Учитывая большое количество действий со стороны пользователя, необходимое для успешной атаки, Microsoft не считает это серьезным риском для заказчиков», — сказал представитель компании, добавив, что секьюрити-эксперты Microsoft продолжают изучать проблему.

Специалисты предсказывали, что в Windows XP Service Pack 2, или SP2, очень скоро обнаружатся уязвимости. Пока ошибка drag-and-drop — самая серьезная из всех, обнаруженных в обновленных компьютерах. Однако для большинства людей SP2 пока остается недоступным. Microsoft предупредила, что всем пользователям, желающим установить на свой компьютер выпущенное в прошлую среду обновление, сделать это удастся лишь в течение месяца.

Между тем http-equiv уверен, что усилия софтверного гиганта не пропали даром. «Патч действительно хорошо запирает машину, и если теперь что-нибудь и найдут, то это будет уже совсем не то, что всплывало в прошлом году», — заверил он. 

 Предыдущие публикации:
2004-08-09   Обновление для Windows, наконец, готово
2004-08-17   SP2 конфликтует более чем с 40 программами
 В продолжение темы:
2004-09-15   Картинки представляют серьезную опасность для Windows-ПК
Обсуждение и комментарии
azzy
24 Aug 2004 4:47 PM
сколько можно писать про дыры в ИЕ. никому это не интересно. придумали 301-й способ поиметь вас через ИЕ. Будет и 302-й, и 3302-й.
 

bravo
24 Aug 2004 6:02 PM
драг-н-дроп, плуг-н-плэй свой джойстик
 

Zapruder
24 Aug 2004 7:36 PM
http://www.browsehappy.com/
смени бразуер и будь счастлив
 

Black IBM.*
25 Aug 2004 2:13 PM
у проститутки спрашиивают сколько знает поз.
у мошеника сколькон знает способов облппошить лоха.
у чиновника как поличуть откат
а у виндузядника спрашивать беспользно. знаешь что через неделю появится новый способ..
 

DupleX
30 Aug 2004 1:57 PM
Юзайте DRWeb+Adinf+Firewall - и опасность сводится к мизеру!
 

 

← июль 2004 18  19  20  22  23  24  25  26  27 сентябрь 2004 →
Реклама!
 

 

Место для Вашей рекламы!