Microsoft до сих пор не выпустила заплатку для трех уязвимостей в Internet Explorer, которые представляют серьезную угрозу для пользователей. За корпорацию это сделали сторонние компании, занимающиеся ИТ-безопасностью.

Компании eEye Digital Security и Determina, занимающиеся информационной безопасностью, выпустили заплатку к критической уязвимости в Internet Explorer 6. Microsoft не советует пользоваться этим кодом и подождать до официального очередного обновления 11 апреля, однако уязвимостью уже пользуются сотни хакеров, заражая тысячи компьютеров по всему миру.

Три уязвимости в IE были обнаружены в начале 20-х чисел марта. Самая серьезная — ошибка в свойстве JavaScript «CreateTextRange» — позволяет выполнить произвольный код, скрытый в веб-странице, без ведома и участия пользователя.

Сооснователь eEye и директор по вопросам компьютерной безопасности Марк Майффрет (Marc Maiffret) сказал, что заплатка — временное решение, которое самоустранится после установки обновления от Microsoft.

Хотя Microsoft преуменьшает угрозу, только одна компания ИТ-безопасности, Websense, насчитала более 200 сайтов, эксплуатирующих уязвимость. В блоге по безопасности корпорация заявила о работе с силовыми ведомствами разных стран по закрытию таких веб-сайтов. В выпускаемых Microsoft бюллетенях по безопасности корпорация преуменьшила опасность уязвимости: «Пока атаки ограничены по масштабу». Напомним, что Microsoft обычно выпускает обновления для системы безопасности каждый месяц, и сейчас команда разработчиков работает над «заплатками» для новых уязвимостей, чтобы включить их в состав следующего пакета обновления 11 апреля. Однако утверждается, что при существенном росте опасности патчи выйдут раньше.