Первая проблема связана с
уязвимостью в компоненте
RDS.
Dataspace ActiveX, который поставляется как часть ActiveX Data Objects (
ADO) и включен в MDAC.
Удаленный пользователь может с помощью специально написанного кода на
веб-сайте выполнить произвольный код на компьютере жертвы. Другая критическая уязвимость проявляется в неправильной обработке
Windows Explorer некоторых
COM-объектов. Эти ошибки есть в большинстве существующих операционных систем Windows, в том числе и в
Windows XP SP2 и
Windows Server 2003 SP1.
Также Microsoft устранила критическую уязвимость в Internet Explorer CreateTextRange, которая две недели держала миллионы компьютеров беззащитными перед хакерами. С момента публикации 23 марта на хакерских веб-сайтах программы, эксплуатирующей ошибку CreateTextRange, в интернете, по подсчетам специалистов ряда компаний по ИТ-безопасности, появилось более 200 сайтов-ловушек. Напомним, что уязвимость в обработке языка сценариев JavaScript позволяет злоумышленнику незаметно выполнить произвольный код при посещении жертвой веб-страницы. Хотя несколько компаний выпустили свои заплатки, они не получили достаточного распространения, а Microsoft посоветовала не использовать патчи сторонних разработчиков и дождаться вторника.
Стоит отметить, что IE — самый популярный браузер в мире, то есть большинство компьютеров уязвимы. По данным Mail.Ru на 13 апреля 2006 года, 64% интернетчиков в России используют IE.
Microsoft также исправила ошибку в почтовом клиенте Outlook Express версий 5.5 и 6.0. «Дыра» позволяет хакерам получить контроль над компьютером пользователя. Для этого необходимо вынудить пользователя открыть в приложении специально созданный файл адресной книги в формате WAB (Windows Address Book). Обработка такого файла спровоцирует ошибку переполнения буфера и последующий запуск вредоносного кода. «Дыра» получила статус важной.
Что касается уязвимости в программе FrontPage Server Extensions, то она теоретически обеспечивает возможность проведения XSS-атак (Cross-Site Scripting). Данная брешь представляет умеренную опасность и присутствует в пакете FrontPage Server Extensions 2002.
Поделиться