Компьюлента. 5 февраля 2004 года, 16:37
В понедельник 2 февраля корпорация Microsoft объявила о выпуске очередного патча, ликвидирующего несколько опасных дыр в браузере Internet Explorer. Как сообщалось в бюллетене безопасности MS04-004, одна из устраненных ошибок позволяла злоумышленнику отобразить в адресной или статусной строке браузера поддельный URL, не соответствующий реальному.
Данная уязвимость, напомним, была обнаружена еще в декабре прошлого года. Причем дырой очень легко воспользоваться: для этого нужно лишь составить URL, содержащий имя пользователя, отделенное символом @ от адреса какого-либо сайта. В качестве имени можно ввести адрес другой веб-страницы. В результате, после нажатия на такую ссылку пользователь окажется на ресурсе, адрес которого записан после значка @, тогда как браузер отобразит последовательность символов, забитую в первой части URL. Это дает злоумышленникам возможность заманивать ничего не подозревающих владельцев компьютеров на поддельные сайты и под различными предлогами получать у них персональную информацию - номера кредитных карт, банковских счетов и пр.
Заплатки от Microsoft пришлось ждать больше полутора месяцев, однако после ее установки многие пользователи столкнулись с другой проблемой. Как выясняется, патч, наряду с дырой, устраняет и функцию индивидуального доступа к сайту, когда имя и пароль записываются в первой части URL и отделяются от названия страницы символом @. То есть строка может выглядеть следующим образом: http://username:password@www.somecompany.com/program.ext. Представители Microsoft подтвердили наличие проблемы и тут же добавили, что подобный способ входа на сайт может приводить к утере конфиденциальных данных. "Пользователи хотели безопасности, и теперь они ее получили", - отметил Стивен Тулуз, один из менеджеров Microsoft.
