30 марта, 15:45
Microsoft до сих пор не выпустила заплатку для трех уязвимостей в Internet Explorer, которые представляют серьезную угрозу для пользователей. За корпорацию это сделали сторонние компании, занимающиеся ИТ-безопасностью.
Компании eEye Digital Security и Determina, занимающиеся информационной безопасностью выпустили заплатку к критической уязвимости в Internet Explorer 6. Microsoft не советует пользоваться этим кодом и подождать до официального очередного обновления 11 апреля, однако уязвимостью уже пользуются сотни хакеров, заражая тысячи компьютеров по всему миру.
Три уязвимости в IE были обнаружены в начале 20-х чисел марта. Самая серьезная - ошибка в свойстве JavaScript "CreateTextRange" - позволяет выполнить произвольный код, скрытый в веб-странице, без ведома и участия пользователя.
Сооснователь eEye и директор по вопросам компьютерной безопасности Марк Майффрет (Marc Maiffret) сказал, что заплатка - временное решение, которое самоустранится после установки обновления от Microsoft.
Хотя Microsoft преуменьшает угрозу, только одна компания ИТ-безопасности, Websense, насчитала более 200 сайтов, эксплуатирующих уязвимость. В блоге по безопасности корпорация заявила о работе с силовыми ведомствами разных стран по закрытию таких веб-сайтов. В выпускаемых Microsoft бюллетенях по безопасности корпорация преуменьшила опасность уязвимость: "Пока атаки ограничены по масштабу".
Напомним, что Microsoft обычно выпускает обновления для системы безопасности каждый месяц, и сейчас команда разработчиков работает над "заплатками" для новых уязвимостей, чтобы включить их в состав следующего пакета обновления 11 апреля. Однако утверждается, что при существенном росте опасности патчи выйдут раньше.