Автор Тема: Дыра в IE 5.5 и 6  (Прочитано 2669 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн bhor

  • Модератор
  • Глобальный модератор
  • Ветеран
  • *****
  • Сообщений: 767
  • +0/-0
  • 0
    • Просмотр профиля
Дыра в IE 5.5 и 6
« : 23 Января 2002, 18:39:15 »
Корпорация Microsoft дала разъяснения относительно реальной опасности
уязвимости в браузере Internet Explorer версий 5.5 и 6, обнаруженной в
декабре 2001 года компанией Online Solutions. В течение месяца со дня
обнаружения дыры, пользователи имели возможность скачать соответствующий
патч.

Как оказалось, данная брешь заслуживает титула самой серьезной в истории
IE и представляет в высшей степени серьезную опасность для пользователей
браузера Internet Explorer версий 5.5 и 6. Дело в том, что добавление
символов %00 (так называемого "нулевого байта") в конце названия файлов,
размещенных на сервере, позволяло запускать любые приложения на стороне
клиента путем простого добавления к вышеуказанным символам названия
исполняемого файла.

Например, обращение клиента к файлу под названием readme.txt%00prog.exe
способно вызвать исполнение файла prog.exe на стороне клиента без
запуска каких бы то ни было диалоговых или предупреждающих окон.

Подобный механизм является идеальной возможностью запуска троянских и
вирусных файлов, загруженных клиентом, например, вместе с почтовым
сообщением, после того, как пользователь на стороне клиента просто
запускает прилагающуюся к данному сообщению гиперссылку.
Cсылка, откуда взять патч:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms01-058.asp

 

Sitemap 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28