USD 64.02 ЕВРО 70.85

Microsoft предупреждает об уязвимости нулевого дня в Windows

Экономика

Microsoft предупреждает об уязвимости нулевого дня в Windows

Только пользователи Explorer подвержены этому риску, другие браузеры не могут быть использованы, говорят аналитики

В эту пятницу, 29 января, Microsoft предупредил пользователей Windows о новой и незакрытой уязвимости, которая может быть использована злоумышленниками для кражи информации и установки вредоносного кода.

В выпущенных в пятницу рекомендациях по безопасности, Microsoft признает, что ошибка в протоколе Windows MHTML (MIME HTML) может быть использована хакерами для запуска вредоносного скрипта в Internet Explorer (IE).

«Лучше всего эту ошибку отнести к варианту уязвимости скриптов — Cross-site scripting bugs», советует Эндрю Стормс (Andrew Storms), директор по безопасным операциям компании nCircle Security.

Ошибки «Cross-site scripting bugs», чаще называемые XSS, могут быть использованы для вставки вредоносного скрипта в веб — страницу для установки контроля над сессией.

«Злоумышленник может притвориться каким-либо пользователем и действовать от его лица на каком-то определенном сайте»,говорит Стормс.  «Если вы на Gmail.com или Hotmail.com, он может отправлять почту под вашим именем».

Microsoft работает над этой угрозой.

«Такой скрипт может собирать пользовательскую информацию, например, адреса электронной почты, публиковать подложные тексты в браузере или проводить другие эксперименты с браузером пользователя», говорит Анжела Гун (Angela Gunn), представитель Microsoft по безопасности, в блоге Microsoft Security Response Center.

Уязвимость стала публично известной, когда китайский сайт WooYun.org опубликовал код.

MHTML является протоколом веб страниц для совмещения ресурсов нескольких различных форматов – изображений, Java аплетов, Flash анимации в один файл. Только Microsoft IE и Opera естественно поддерживают MHTML. Google Chrome и Apple Safari не поддерживают, а Mozilla Firefox может, но только с эдоном для чтения и записи MHTML файлов.

Все поддерживаемые версии Windows, включая Windows XP, Vista и Windows 7, содержат этот протокол, и Стормс полагает, что компании Microsoft потребуется время для создания патча.

«Если бы это было только в IE, я мог бы увидеть патч уже 8 февраля», говорит он, ссылаясь на расписание регулярных релизов обновлений Microsoft. «Но это есть в Windows, и Microsoft не успеет к этой дате».

Вместо патча Microsoft рекомендует пользователям заблокировать протокол MHTML запустив инструмент «Fixit», который доступен. Он автоматизирует процесс редактирования регистра Windows, который если сделать это небрежно, может навредить компьютеру, а также  пользователям IE дает возможность продолжать запускать MHTML файлы, которые включают скрипты, кликая через предупреждения.

Инструмент Fixit можно взять на сайте поддержки Microsoft.

Microsoft уже имела дело с уязвимостями протокола в 2007 году, когда спорила с компанией Mozilla по поводу ответственности за патчи похожих ошибок.

Источник: www.networkworld.com