Microsoft работает над серией исправлений для Internet Explorer

В пятницу Microsoft выпустила исправление, закрывающее один из трех пробелов в защите браузера, которые в совокупности позволяли злоумышленникам проникнуть в компьютер. Однако в эти выходные была обнаружена еще одна лазейка, которую заплатка Microsoft не устраняет. «Они предпочли решить только часть проблемы, — говорит студент-компьютерщик из Нидерландов Елмер Куперус, опубликовавший излечивающий код. — Остальное, вероятно, оставили на потом», сообщает Zdnet.ru.

Это уже третий случай в течение месяца, когда Microsoft приходится играть в догонялки с хакерами, обнародовавшими информацию о пробелах в защите Internet Explorer. В начале июня Куперус нашел веб-сайт, который использовал две неизвестные ранее уязвимости и одну недавно исправленную для установки на компьютеры жертв adware-программы. А на прошлой неделе была обнаружена менее опасная уязвимость, которую Microsoft исправила в ранних версиях браузера — но в более поздних версиях она появилась вновь.

Microsoft признала последнюю проблему и пообещала выпустить новые поправки в ближайшее время. «Компания работает над серией исправлений для Internet Explorer, которые выйдут в ближайшие недели и обеспечат заказчикам дополнительную защиту», — сказал CNET News.com представитель Microsoft. Кроме того, компания будет «продолжать изучать появляющиеся сообщения».

Последняя ошибка не является новостью — эксперты уже обсуждали эту проблему в январе, отмечает Куперус. Сначала ее посчитали незначительной, но это не так, потому что этот дефект можно использовать в сочетании с двумя другими, обнаруженными в начале июня. В совокупности все три пробела в защите обеспечивают простой доступ к Windows-компьютерам через браузер Internet Explorer.

«Большинство эксплойтов, которые встречаются сегодня, используют несколько уязвимостей, каждая из которых представляет собой дыру в какой-нибудь функции защиты Internet Explorer, — говорит Куперус. — По отдельности многие из этих проблем кажутся совершенно безвредными, но вместе они создают серьезный риск».

Как оригинальные, так и вновь обнаруженные дефекты относятся к библиотеке компонентов и средств поддержки сценариев ActiveX. Сначала был выявлен пробел в ADODB.Stream, а последняя ошибка кроется в компоненте Application.Shell.