Это уже третий случай в течение месяца, когда Microsoft приходится играть в догонялки с хакерами, обнародовавшими информацию о пробелах в защите Internet Explorer. В начале июня Куперус нашел веб-сайт, который использовал две неизвестные ранее уязвимости и одну недавно исправленную для установки на компьютеры жертв adware-программы. А на прошлой неделе была обнаружена менее опасная уязвимость, которую Microsoft исправила в ранних версиях браузера — но в более поздних версиях она появилась вновь.

Microsoft признала последнюю проблему и пообещала выпустить новые поправки в ближайшее время. «Компания работает над серией исправлений для Internet Explorer, которые выйдут в ближайшие недели и обеспечат заказчикам дополнительную защиту», — сказал CNET News.com представитель Microsoft. Кроме того, компания будет «продолжать изучать появляющиеся сообщения».

Последняя ошибка не является новостью — эксперты уже обсуждали эту проблему в январе, отмечает Куперус. Сначала ее посчитали незначительной, но это не так, потому что этот дефект можно использовать в сочетании с двумя другими, обнаруженными в начале июня. В совокупности все три пробела в защите обеспечивают простой доступ к Windows-компьютерам через браузер Internet Explorer.

«Большинство эксплойтов, которые встречаются сегодня, используют несколько уязвимостей, каждая из которых представляет собой дыру в какой-нибудь функции защиты Internet Explorer, — говорит Куперус. — По отдельности многие из этих проблем кажутся совершенно безвредными, но вместе они создают серьезный риск».

Как оригинальные, так и вновь обнаруженные дефекты относятся к библиотеке компонентов и средств поддержки сценариев ActiveX. Сначала был выявлен пробел в ADODB.Stream, а последняя ошибка кроется в компоненте Application.Shell.

Источник: http://www.SecurityLab.ru