Корпорация Microsoft выпустила очередную порцию заплаток для своих программных продуктов.
На этот раз больше всего дыр устранено в браузере Internet Explorer. Как сообщается в бюллетене безопасности MS05-054, одна из проблем связана с особенностями отображения диалоговых окон, информирующих пользователя о загрузке файлов из Сети. Для реализации нападения злоумышленнику необходимо создать специальную веб-страницу и заманить на нее жертву. В случае успешной атаки на удаленном компьютере может быть выполнен произвольный вредоносный код.
Еще одна ошибка в Internet Explorer предоставляет злоумышленнику возможность получить адрес посещаемой пользователем страницы даже в том случае, если применяется защищенное HTTPS-соединение. Ошибка, возникающая при обработке определенных COM-объектов в процессе просмотра ресурсов в интернете, может использоваться злоумышленниками с целью получения несанкционированного доступа к удаленному ПК.
Наконец, еще одна дыра в Internet Explorer может быть задействована через сформированные особым образом DOM-объекты (Document Object Model). Результатом атаки может стать выполнение на машине произвольного вредоносного кода. Уязвимости, охарактеризованные как критически опасные, присутствуют в браузере IE версий 5.01, 5.5 и 6.0.
Помимо кумулятивного патча для Internet Explorer корпорация Microsoft выпустила заплатку для дыры в операционной системе Windows 2000. Из-за ошибки, возникающей в процессе обработки списка очереди APC (Asynchronous Procedure Call), нападающий может повысить уровень своих привилегий в системе. Правда, задействовать брешь удаленно невозможно, в связи с чем она получила статус важной.

Компьюлента