Карпарацыя Microsoft паведаміла аб выяўленні сур'ёзнай уразлівасці, якая ўжо выкарыстоўваецца хакерамі.

Гаворка ідзе аб багу ў апрацоўшчыку пратаколу MHTML (MIME Encapsulation of Aggregate HTML), выкарыстанне якога вядзе да несанкцыянаванай уцечкі дадзеных. Паведамляецца, што ўзор эксплоита, выкарыстоўвалага дадзены баг, ужо ёсць у адчыненым доступе.

У карпарацыі кажуць, што дадзеная ўразлівасць падалена нагадвае выкананне сцэнараў XSS, таксама якія прыводзяць да несанкцыянаванага атрымання дадзеных. Да прыкладу, атакавалы можа сканструяваць HTML-спасылку, паказаўшы ў ёй вызначаныя параметры, правакацыйныя ўразлівасць. У наступная задача хакера зводзіцца да таго, каб пад якія-небудзь падставай пераканаць сваёй ахвяру націснуць на спасылку.

У выпадку націску спасылкі, адбываецца выкананне скрыпту на кампутары пад кіраваннем Internet Explorer і ў рамках бягучай сесіі зламыснік можа атрымаць карыстацкую інфармацыю, прычым браўзэр можна вымусіць паказваць тую або іншую інфармацыю, маскіравалую несанкцыянаваную актыўнасць.

У адпаведнасці з паведамленнем Microsoft, уразлівасць закранае ўсе падтрымоўваныя версіі Internet Explorer і ўсе падтрымоўваныя версіі Windows. Уразлівасць узнікае з-за таго, што праграмны код, існы ў інтэрпрэтатару MHTML, вызначанай выявай інтэрпрэтуе MIME-запыты ў вэб-дакументах.

Зрэшты, у кампаніі nCircle кажуць, што нягледзячы на наяўнасць існага эксплоита, выкарыстаць уразлівасць даволі цяжка, бо хакеру трэба не толькі прымусіць карыстача націснуць на спасылку, але і кантраляваць вэб-сервер на яго кампутары. "Тэхнічна, справакаваць уразлівасць няцяжка, але значна цяжэй атрымаць вынік яе выканання. Гэтая акалічнасць робіць напад не гэтак небяспечнай", - кажа Эндру Стормс, дырэктар па бяспецы nCircle.

"Рызыка нападу невялікі, тым больш, чым Microsoft на сваім сайце апублікавала рэкамендацыі па паніжэнні патэнцыйнай пагрозы", - кажа ён.

Па дадзеных Microsoft, карыстачы могуць проста часова адключыць працы пратаколу MHTML, а таксама заблакаваць ActiveX з высокай ступенню небяспекі.

рэкамендуем прачытаць таксама

• Уразлівасць у Internet Explorer дае магчымасць прачытаць любы файл на кампутары
• Microsoft ухіліла “дзюру” у Internet Explorer
• Microsoft зацікавілася стандартам HTML 5
• Microsoft распавяла аб дзявятай версіі Internet Explorer
• Microsoft рыхтуецца прадставіць другую бэта-версію Internet Explorer 8

Каментаванне не дазволенае.