Заплаты Microsoft оставляют уязвимости в IE!

Набор программных заплат, разработанных для закрытия брешей в защите в web-браузера Microsoft, все равно оставляет пользователей Internet Explorer уязвимыми для нескольких типов известных и ранее описанных нападений.

Исправление, выпущенное Microsoft в понедельник «устраняет все известные уязвимости защиты Internet Explorer» - согласно бюллетеню MS02-005 компании. «Шесть дефектов, два из которых оценены как "критические" устранены совокупным исправлением» - сообщила Microsoft.

Но проверка, выполненная экспертами Newsbytes и многими независимыми исследователями во всем мире, показала, что заплата от 11 февраля лишь частично исправляет две из шести описанных уязвимостей и все еще оставляет шестую версию Internet Explorer уязвимой для многих уже известных и описанных типов атак, позволяющих удаленно запускать самые различные программы на компьютере пользователя.

В частности, неисправленной осталась ошибка, известная как "IE Pop-Up OBJECT Tag Bug", о которой было сообщено Microsoft 10 января исследователем защиты, использующим псевдоним ThePull. Демонстрация на его сайте http://www.osioniusx.com показывает успешное эксплуатирование этого недостатка защиты под Windows 98 и Windows 2000, использующих IE6 с самой последней заплатой IE. Ошибка защиты описана в базе данных уязвимостей SecurityFocus как "Arbitrary Program Execution Vulnerability" и позволяет злоумышленнику запускать программы на винчестере жертвы. Еще один пробел в защите IE, который Microsoft определила, как «Frame Domain Verification Variant via Document.Open function», был обнаружен тем же ThePull еще 19 декабря. Тогда же он и был описан в базе SecurityFocus под именем «Same Origin Policy Violation Vulnerability». И он до сих пор не закрыт полностью(!!!). Патч от 11 февраля устраняет его лишь частично, и то только под Windows 2000. И это, несмотря на заявления представителей Microsoft о том, что «все возможные типы уязвимостей класса Document.Open были устранены еще в прошлом месяце»! Но тесты, проведенные компанией Newsbytes на этой неделе, показали, что даже самый последний патч не устраняет все возможности копирования файлов с компьютера жертвы на компьютер хакера.

Еще одна дыра в IE, то же до сих пор не закрытая, была описана еще 15 декабря. Недостаток в XMLHTTP компоненте IE6, как предполагалось, был закрыт еще в прошлом месяце. По крайней мере, об этом сообщила компания Microsoft, и эти данные были подтверждены независимыми исследователями Тором Лархолмом и Томом Гилдером для Windows 2000. Но Newsbytes на этой неделе доказала, что системы Windows 98 и Me, использующие IE6, все еще уязвимы для этих нападений, позволяющих чтение и рассылку файлов жертвы.

Должностные лица Microsoft не стали комментировать ситуацию, но утром во вторник на http://www.microsoft.com/technet/security/bulletin/MS02-005.asp появилась уже новая многофункциональная заплата Q316059, которая, как ожидалось, должна устранить все остающиеся уязвимости. Однако через несколько часов эта заплата была удалена с сайта, т. к., по словам представителей Microsoft, содержала программную ошибку. Тем же пользователям, кто успел ее оперативно скачать и установить, предлагалось ничего не предпринимать и ждать дальнейших инструкций. Со вторника прошло уже довольно много времени, а никакой активности на Microsoft's Windows Update site не наблюдается.

По-видимому, ошибка оказалась слишком серьезной для оперативного устранения. Но надеемся, что, когда заплата все же появится (ну не совсем же лохи программисты в Microsoft), она нас не разочарует и ликвидирует, в конце то концов, все известные уязвимости в IE.

Что ж, мечтать не вредно…