Архивы: по дате | по разделам | по авторам

Дмитрий Леонов: "Усугубляющий фактор - отсутствие свежих исправлений"

АрхивЭксперт
автор : Марианна Дейнеко   05.03.2004

Обнаружена очередная уязвимость в браузере Internet Explorer. Злоумышленники получили еще один способ воровать персональные данные пользователей. Опасность дыры разъясняет создатель сайта Bugtraq.ru.

Обнаружена очередная уязвимость в браузере Internet Explorer. Злоумышленники получили еще один способ воровать персональные сведения пользователей.

Дыра представляет угрозу для пользователей IE версий 5 и 6, работающих под управлением операционных систем Windows 2000 Professional и Windows XP Professional. Для проведения атаки достаточно заманить жертву на сформированный определенным образом сайт. Название самой ссылки и даже внешний вид вредоносной страницы могут быть позаимствованы у какого-либо заслуживающего доверия сайта.
Об опасности этой бреши рассказывает Дмитрий Леонов, создатель сайта BugTraq.Ru:

"Я бы назвал ее умеренно опасной. Чтобы ее реализовать, мне нужно подготовить некий сайт, открывающий во фрейме страницу, на которой пользователи вводят некую критичную информацию, скажем, страницу входа в управление своим счетом. Далее нужно каким-то образом заманить жертву на свой сайт, причем так, чтобы она не отличила его от настоящего.

Заманивание проще всего осуществить почтовой рассылкой, имитацию работы с оригинальным сайтом - с помощью недавно заблокированной в IE техники подделки адресов вида http://www.goodsite.com@www.evilsite.com, усугубленной опять же недавно исправленными уязвимостями IE. Таким образом, под угрозой, в первую очередь, оказываются пользователи, доверчиво открывающие ссылки из непроверенных источников. Естественно, усугубляющий фактор - отсутствие последних исправлений.

Что касается ситуации с бесконечными уязвимостями и патчами - такова объективная реальность. Ошибки - неизбежная цена возрастающей сложности современного программного обеспечения, примером чему являются абсолютно все существующие платформы. Ну, а дальше начинается традиционная война щита и меча. Небольшим утешением может служить то, что ошибкам, связанным с безопасностью, в последнее время все-таки стали уделять больше внимания".

© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.