Разделы

Безопасность Интернет Веб-сервисы Цифровизация Бизнес-приложения

CERT: российскими программистами выявлена серьезная уязвимость MSIE

Инициативная группа Computer Emergency Response Team (CERT) объявила об обнаружении очередной системной уязвимости браузера Internet Explorer. Характерной особенностью нового бага является то, что честь его выявления принадлежит не самой корпорации Microsoft, озаботившейся в минувшем феврале проблемой безопасности собственных приложений, а группой экспертов по сетевой безопасности, объединивших свои усилия в рамках сетевого проекта Security.NNov, как следует из его названия, физически размещающегося в Нижнем Новгороде.

Обнаруженная системная уязвимость позволяет хакерам использовать ошибку переполнения буфера при обработке браузером встроенных (embedded) объектов в HTML-документах. Как известно, тэг EMBED используется в последних спецификациях HTML для включения в код внешних объектов, в числе которых Java-апплеты и элементы ActiveX. Атрибут SRC данного тэга, призванный указывать конкретный сетевой адрес исполняемого файла, как удалось выяснить экспертам Security.NNov, обрабатывается браузером некорректно.

Это означает, что определенные возможности использования данного атрибута позволяют составить такой код HTML-файла или почтового письма, исполнение которого вызовет переполнение буфера и исполнение кода приложения с правами администартора.

Корпорация Microsoft уже представила программу-заплатку, позволяющую избавиться от обнаруженной уязвимости. Комментарии CERT по поводу данной системной ошибки также доступны в Сети.