US-CERT предупреждает об уязвимости в Internet Explorer
6943
Американская компьютерная команда быстрого реагирования (от англ. United States Computer Emergency Readiness Team или US-CERT) выпустила с информацией о найденной в Internet Explorer уязвимости, связанной с методом обработки фреймов, включая широкоиспользуемые IFRAMES.
US-CERT решила выпустить бюллетень в связи с публичным появлением PoC-кода (от англ. proof-of-concept). Уязвимости подвержены последняя из доступных бета-версий нового браузера и стабильная версия. IE6, IE7 и IE8 beta 1 неверно ограничивают доступ к фреймам веб-документов. И несмотря на то, что IE ограничивает действия, который может предпринять вредоносный фрейм в родительском документе, браузер не имеет ограничений для компонентов, непривязанных к конкретным доменам.
На текущий момент нет информации об использовании данной уязвимости, но следует знать, что уязвимость позволяет заменить фрейм на веб-странице на вредоносный контент. "Вынуждая пользователя просмотреть специальным образом созданный HTML-документ (то есть веб-страницу или сообщение электронной почты в формате HTML), атакующий сможет получить доступ к элементам, не имеющим привязки к домену, со страницы, расположенной в другом домене. Например, атакующий сможет регистрировать нажатия клавиш в тот момент, когда пользователь просматривает веб-страницу из другого домена" - говорится в предварительном уведомлении. Пока известен лишь один вариант обхода данной проблемы - отключить в Internet Explorer функцию Active Scripting. Для этого идем в меню Tools > Internet Options > Security > Custom Level > Scripting > Active scripting > Disable.
Принимая во внимание тот факт, что уязвимости подвержена и бета-версия разрабатываемого браузера, это огромный камень в огород разработчиков IE, которые не покладая рук трудятся, чтобы повысить безопасность самого популярного и самого уязвимого браузера на планете Земля. Microsoft намерена в ближайшее время выпустить хотфикс.
Источник:
Перевод: deeper2k
Комментарии
А что, разве ещё кто-то пользуется IE?
Лично я предпочитаю Mozilla Firefox.
которые не покладая рук трудятся, чтобы повысить безопасность самого популярного и самого уязвимого браузера на планете Земля.
Кто сказал, что IE самый популярный браузер?
Ни разу не было проблем из-за уязвимостей в каком-то софте. Помоему это все преувеличено. Тут даже вирус с трудом встретишь, какие там угрозы через уязвимости? Только пугают а на деле ничего не происходит.
А что, разве ещё кто-то пользуется IE?
А что, религия не позволяет?
что поделаешь. Раньше клепали криворукие индусы. Сейчас эту поделку отдали на откуп алчным, но не менее криворуким программистам из раши. Т.е. как было говняшкой, так и останется.
Странный камень, только же уязвимость нашли ((-
Заодно и поправят до 2 бетки.
По глобальной статистике spylog.ru за июнь 2008 доля как Mozilla+Firefox, так и Opera впервые достигла 20%, а доля IE снова упала:
IE - 58.2%
Opera - 20.2%
FireFox - 19.63% (Firefox + Mozilla 1x = 20.0%)
Safari - 0.72%
Статистика Net Applications по американскому интернету за июнь
IE - 73%
Firefox - 19%
Opera - 0.73%
Safari - 6.3%
Немного устаревшая статистика по европейским веб-сайтам за март 2008
IE - 65%
Firefox - 28.8%
Opera - 3.3%
Safari - 2.3%
По теме
- Microsoft готовит экстренный патч для уязвимости нулевого дня в Internet Explorer
- С Anniversary Update некоторые изменения коснутся и Internet Explorer
- NetMarketShare: Chrome обогнал IE и стал самым популярным десктопным браузером
- Обновлено: 12 января прекратится поддержка браузеров Internet Explorer устаревших для конкретной версии Windows
- C 12 января 2016 года прекращается поддержка устаревших версий IE
- В IE от Windows Vista до Windows 10 найдена серьезная уязвимость
- Internet Explorer вместе с Яндекс и Google признан экстремистским
- Вышло исправление критической уязвимости для IE с 7 по 11 версию
- HP ZDI опубликовала информацию о четырех новых уязвимостях в IE
- Microsoft отказывается устранять очередную уязвимость в IE