Интересные патчи для Internet Explorer, вышедшие во вторник

Во вторник Microsoft выпустил пачку новых патчей – двенадцать, если быть точным. Из них два наиболее интересных закрывают уязвимости в Internet Explorer.

Первая из двух уязвимостей в Internet Explorer — CVE-2011-0096 – это уязвимость, связанная с ошибкой в коде браузера, приводящей к таким же результатам, что и уязвимости типа XSS (межсайтовый скриптинг). Интересную информацию об уязвимости на английском языке можно найти здесь.

Описание уязвимости, сделанное пользователем d4rkwind, было опубликовано в 5-м выпуске китайского интернет-журнала «Ph4nt0m Webzine 0x05» — за 24 дня до выпуска патча.

Как говорится в описании уязвимости на сайте CVE, «реализация формата MHTML в Microsoft Windows XP SP2 и SP3, Windows Server 2003 SP2, Windows Vista SP1 и SP2, Windows Server 2008 Gold, SP2 и R2, и Windows 7 приводит к некорректной обработке MIME-формата в запросе на блоки данных внутри документа, что позволяет осуществлять XSS-атаки с помощью специально созданного веб-сайта, открываемого в Internet Explorer».

Компания Microsoft опубликовала Информационное сообщение (не бюллетень по безопасности) 28 января 2011 года.

Блогпост, в котором уязвимость описывалась как «внедрение MHTML-скрипта», появился в Microsoft Security Research and Defense blog 28 января. «Проблема может затронуть любой сервис, позволяющий отображать введенные пользователем данные. При этом результат внедрения скрипта в сервис зависит от того, как этот сервис реализован. Таким образом, ситуация аналогична проблеме с серверным межсайтовым скриптингом с той разницей, что уязвимость находится на стороне клиента».

В то же время Microsoft выпустила инсталлятор утилиты (a “Fix It tool), которая позволяет частично решить проблему уязвимости. 27 января инсталлятор был подписан цифровой подписью, 28-го числа опубликован. Размер файла MicrosoftFixit50602.msi составляет 649 КБ. Файл автоматически устанавливает настройки, ограничивающие применение протокола MHTML. Это позволяет блокировать выполнение скриптов, таких как javascript, во всех зонах в пределах MHTML-документа. Работа утилиты вызывает небольшие проблемы. Установленные настройки влияют на работу всех приложений, использующих MHTML. На выполнение скрипта в стандартных HTML-файлах они не влияют.

Теперь, когда патч выпущен, те, кто еще не установил утилиту, могут сразу установить патч.

Также интересна уязвимость парсера каскадных таблиц стилей (CSS) в Internet Explorer. Об этой уязвимости еще в конце ноября (если не раньше) сообщил китайский исследователь.

Уязвимость эксплуатируется новым набором эксплойтов Eleonore Exploit Pack release, v1.6.3a. Этот набор включает 0day-эксплойт, еще несколько новых эксплойтов, а также инструмент, препятствующий исследованию функционала вредоносной программы антивирусными компаниями. На киберкриминальном рынке этот Exploit Pack стоит более $2000.

PS. Пока этот пост готовился к публикации, Adobe также выпустила несколько крупных патчей. Добро пожаловать в клуб!