Компания Determina выпустила неофициальный патч для IE

Патч защищает Windows-ПК от кибератак, использующих обнаруженную недавно уязвимость IE, еще не исправленную самой Microsoft. Производитель ПО не одобрил ни тот, ни другой, отметив, что Microsoft, как правило, не рекомендует устанавливать сторонние патчи.

Еще одна компания выпустила патч, исправляющий серьезную ошибку в Internet Explorer, между тем эксперты предупреждают пользователей об опасности установки исправлений не от Microsoft.

В понедельник компания Determina, производитель систем для предотвращения вторжений, выпустила неофициальную поправкудля веб-браузера Microsoft. А незадолго до этого временное решение проблемы предложила eEye Digital Security.

Оба патча защищают Windows-ПК от кибератак, использующих обнаруженную недавно уязвимость IE, еще не исправленную самой Microsoft. Производитель ПО не одобрил ни тот, ни другой, отметив, что Microsoft, как правило, не рекомендует устанавливать сторонние патчи.

Уже второй раз в этом году кто-то опережает Microsoft в исправлении ее ПО. В прошлый раз эксперты по безопасности одобрили патч, выпущенный европейским исследователем. Но теперь они не рекомендуют устанавливать неофициальные поправки. Вместо этого лучше следовать совету Microsoft и запретить функцию Active Scripting в IE или просто использовать другой веб-браузер.

«На этот раз мы не рекомендуем устанавливать эти временные патчи, — сказал директор по исследованиям SANS Institute Йоханнес Ульрих (Johannes Ullrich). — Только те, кому необходима функция Active Scripting в IE, могут подумать о применении неофициального решения».

Уязвимость относится к способу обработки браузером тега createTextRange() на веб-страницах. С тех пор, как ошибка была обнародована (а это произошло на прошлой неделе), обнаружено свыше 200 веб-сайтов, эксплуатирующих ее. Как правило, эти сайты устанавливают на уязвимые системы шпионское ПО, ПО дистанционного управления и «троянских коней», сообщила компания Websense.

Active Scripting, или ActiveX Scripting, используется для работы с «функционально насыщенными» веб-сайтами, способными исполнять небольшие приложения. Отключение этого компонента в IE может повлиять на отображение веб-сайтов браузером. Патчи eEye и Determina блокируют доступ к уязвимому компоненту IE 5 и 6, пытаясь помешать вредоносным веб-сайтам воспользоваться уязвимостью.

Microsoft сообщила, что она работает над исправлением ошибки. Обновление планируется выпустить 11 апреля, в соответствии с графиком ежемесячных исправлений Microsoft. Однако компания рассматривает возможность преждевременного выпуска.

ZDNet.ru


или введите имя

CAPTCHA