Компания Determina выпустила неофициальный патч для IE

Еще одна компания выпустила патч, исправляющий серьезную ошибку в Internet Explorer, между тем эксперты предупреждают пользователей об опасности установки исправлений не от Microsoft.

В понедельник компания Determina, производитель систем для предотвращения вторжений, выпустила неофициальную поправку для веб-браузера Microsoft. А незадолго до этого временное решение проблемы предложила eEye Digital Security.

Оба патча защищают Windows-ПК от кибератак, использующих обнаруженную недавно уязвимость IE , еще не исправленную самой Microsoft. Производитель ПО не одобрил ни тот, ни другой, отметив, что Microsoft, как правило, не рекомендует устанавливать сторонние патчи.

Уже второй раз в этом году кто-то опережает Microsoft в исправлении ее ПО. В прошлый раз эксперты по безопасности одобрили патч, выпущенный европейским исследователем . Но теперь они не рекомендуют устанавливать неофициальные поправки. Вместо этого лучше следовать совету Microsoft и запретить функцию Active Scripting в IE или просто использовать другой веб-браузер.

«На этот раз мы не рекомендуем устанавливать эти временные патчи, — сказал директор по исследованиям SANS Institute Йоханнес Ульрих (Johannes Ullrich). — Только те, кому необходима функция Active Scripting в IE, могут подумать о применении неофициального решения».

Уязвимость относится к способу обработки браузером тега createTextRange() на веб-страницах. С тех пор, как ошибка была обнародована (а это произошло на прошлой неделе), обнаружено свыше 200 веб-сайтов, эксплуатирующих ее. Как правило, эти сайты устанавливают на уязвимые системы шпионское ПО, ПО дистанционного управления и «троянских коней», сообщила компания Websense .

Active Scripting, или ActiveX Scripting, используется для работы с «функционально насыщенными» веб-сайтами, способными исполнять небольшие приложения. Отключение этого компонента в IE может повлиять на отображение веб-сайтов браузером. Патчи eEye и Determina блокируют доступ к уязвимому компоненту IE 5 и 6, пытаясь помешать вредоносным веб-сайтам воспользоваться уязвимостью.

Microsoft сообщила, что она работает над исправлением ошибки. Обновление планируется выпустить 11 апреля, в соответствии с графиком ежемесячных исправлений Microsoft. Однако компания рассматривает возможность преждевременного выпуска.

ZDNet.ru