Krytyczne dziury w Outlook Express i IE

Microsoft udostępnił dwa nowe patche, usuwające kilka "krytycznych" błędów w zabezpieczeniach programu pocztowego Outlook Express oraz przeglądarki Internet Explorer. Z informacji udostępnionych przez koncern wynika, że wykryte właśnie "dziury" umożliwiają hakerowi uzyskanie zdalnego dostępu do danych zgromadzonych na dysku komputera, na którym uruchomiona będzie któraś z powyższych aplikacji.

Błędy wykryto w dwóch wersjach Outlook Expressa (5.5 oraz 6.0), a dokładniej rzecz ujmując - w mechanizmie MHTML URL Handler. Pozwalają one hakerowi na stworzenie takiego dokumentu HTML, którego otwarcie umożliwi uruchomienie dowolnego skryptu na zaatakowanej maszynie (co z kolei pozwoli na uzyskanie dostępu do danych).

Microsoft zaleca użytkownikom wymienionych wyżej wersji Outlook Express zainstalowanie udostępnionego już patcha. Więcej informacji oraz plik do pobrania znaleźć można tutaj:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-014.asp

Błędów w przeglądarce Internet Explorer (w wersjach 5.01, 5.5 oraz 6.0) jest więcej - bo aż cztery. Najgroźniejszy z nich umożliwia hakerowi przejęcie zdalnej kontroli nad komputerem, jeśli jego użytkownik kliknie na odnośnik do odpowiednio spreparowanej strony WWW lub wyświetli zawartość zmodyfikowanej wiadomości e-mail (w formacie HTML). Jest to konsekwencja występowania w IE w pewnych okolicznościach błędu przepełnienia bufora. Dwie kolejne "dziury" umożliwiają hakerowi wykorzystanie przeglądarki do pobrania wybranego pliku z komputera użytkownika, zaś ostatnią z nich wykryto w mechnizmie odpowiedzialnym za obsługę plików w formatach innych producentów oprogramowania (np. PDF). Microsoft udostępnił "zbiorcze" uaktualnienie (cumulative patch) usuwające wszystkie wykryte błędy.

Więcej informacji oraz plik do pobrania:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-015.asp


Zobacz również