Из-за недостатка Internet Explorer люди, посетившие сайт злодея и кликнувшие на картинке, могут, не подозревая о этом, занести в собственный ПК вредоносную програмку.

Независящий эксперт предупредил, что недостаток Internet Explorer превращает механизм drag-and-drop в drag-and-infect — даже на компах с крайним обновлением Microsoft. Уязвимость проявляется в Internet Explorer из Windows XP даже опосля установки Service Pack 2 и дозволяет атакующему занести свою програмку в комп жертвы, заманив ее на собственный сайт и убедив кликнуть на изображении.

Программа злодея будет помещена в папку Windows startup и выполнится при последующей перезагрузке системы. Обнаруживший ошибку эксперт, узнаваемый под псевдонимом http- equiv, приводит пример, демонстрирующий способности, которые она открывает. «На интернет-странице видны две красноватые полосы и изображение; отбуксируйте изображение через обе полосы и отпустите его, — пишет он. — По сути вы перенесли програмку в свою папку startup. Она запустится, как вы включите комп в последующий раз».

Компания Secunia утверждает, что эксплойт, использующий эту делему, можно упростить еще более, так что юзеру довольно будет просто кликнуть на изображении. Secunia оценивает уязвимость как «высоко критическую» — это 2-ой опосля самого высочайшего уровень угрозы по ее шкале.

В Microsoft произнесли, что неувязка не представляет суровой угрозы для юзеров, потому что атакующий должен приманить его на собственный веб-сайт и вынудить на активные деяния. «Учитывая огромное количество действий со стороны юзера, нужное для удачной атаки, Microsoft не считает это суровым риском для заказчиков», — произнес представитель компании, добавив, что секьюрити-эксперты Microsoft продолжают учить делему.

Спецы предсказывали, что в Windows XP Service Pack 2, либо SP2, чрезвычайно скоро обнаружатся уязвимости. Пока ошибка drag-and- drop — самая суровая из всех, найденных в обновленных компах. Но для большинства людей SP2 пока остается недоступным. Microsoft предупредила, что всем юзерам, желающим установить на собственный комп выпущенное в прошлую среду обновление, сделать это получится только в течение месяца.

Меж тем http-equiv уверен, что усилия софтового гиганта не пропали даром. «Патч вправду отлично запирает машинку, и ежели сейчас что-нибудь и отыщут, то это будет уже совершенно не то, что всплывало в прошедшем году», — заверил он.

По материалам Zdnet

Среди наших партнеров: