| ||||||||||||||||
 | ||||||||||||||||
| ||||||||||||||||
 | ||||||||||||||||
| ||||||||||||||||
|
|
Патч Microsoft защищает сетевые программы BugNet сообщил об открытии , который обнаружил уязвимость Internet Explorer и Outlook Express версий 5 и выше, касающуюся элементов HTML OBJECT и OBJECT TYPE. Патч уничтожил этот и некоторые другие недостатки.
Дыркой в такой стратегии защиты является файл index.dat, находящийся в каждой директории Temporary Internet Files. Index.dat - это скрытый файл (он не виден из-под Windows Explorer), но установка OBJECT TYPE для файлов “text/html” как связанных с атрибутом DATA программы JavaScript открывает содержимое index.dat, включая имена директорий Temporary Internet Files. Отправляйтесь на , чтобы увидеть неагрессивную демонстрацию этого недостатка. После скачивания демо-кода, написанного Гусинским, будет показана веб-страница, отображающая содержимое файла index.dat на вашем компьютере. Это работает только тогда, когда опция Active Scripting включена в Internet Explorer и если index.dat находится в заданной при инсталляции директории. Опцию Active Scripting можно отключить в диалоговом окне Tools > Internet Options > Security > Custom Level Internet Explorer. Расположение временных файлов можно изменить в окне Tools > Internet Options > SettingsMove Folder. Ссылка ведет к , размером в 1.875 MB, исправляющему проблемы, описанные выше. Патч также исправляет недостатки, относящиеся к Browser Print Template, Scriptlet Rendering, и Frame Domain Verification. Патч должен работать для Internet Explorer 5.01 Service Pack 1, 5.5 и 5.5 Service Pack 1. Однако небольшая проблема с программой определения версии может не позволить патчу запуститься. Тесты KeyLabs показали, что патч устанавливается только на Internet Explorer 5.5 SP1. Пользователи, запускающие патч и получающие сообщение “Это обновление не должно быть установлено на вашей системе”, должны повыситься до Internet Explorer 5.5 SP1 и затем проинсталлировать патч. Microsoft объявила, что этот патч будет входить в Internet Explorer 5.01 Service Pack 2 и 5.5 SP2. Чтобы узнать версию своего Internet Explorer и проинсталлирован ли этот патч, кликните на Help>About Internet Explorer. Если строка Update Versions не содержит SP2 или SP1 и Q279328, вам придется установить патч. KeyLabs запускали Internet Explorer 5.5 с установленными компонентами SP1 и q279328 и подтвердили, что патч исправляет ошибку дыры OBJECT TYPE: содержание файла index.dat не может выясняться при помощи |
Функции OBJECT TYPE и INPUT TYPE используют преимущество Internet Explorer при скачивании файлов из Интернет и сообщений электронной почты в формате HTML. Эти файлы хранятся в четырех директориях, по умолчанию расположенных в C:\Windows\Temporary Internet Files (C:\Documents and Settings\username\Local Settings\Temporary Internet Files для Windows 2000). Во время инсталляции эти директории получают случайные имена. Установка маски на имена директорий (а, следовательно, и на имена файлов в них) не позволяет злоумышленникам вписывать разрушительный код на веб-страницу или сообщение электронной почты, а затем запускать их на компьютере жертвы.|
|
| ||||||||||||||||
| ||||||||||||||||
| ||||||||||||||||
|