Microsoft закрывает новую лазейку в Internet Explorer

Компания Microsoft выпустила очередной бюллетень по безопасности, в котором предупреждает пользователей об обнаружении нового недостатка в защите Internet Explorer (версий 5.01 и 5.5) и рекомендует установить со своего сайта специальную «заплатку», устраняющую эту ошибку.

«Дыра» в безопасности, позволяющая злоумышленникам выполнять свои программы на пользовательских машинах, связана со способом обработки Internet Explorer-ом закодированного текста — использованием MIME-стандарта (Multipurpose Internet Mail Extensions).

MIME-стандарт обычно используется для отправки данных, которые не могут быть сохранены как обычный текст, например, электронные письма в HTML-формате и присоединенные файлы.

Если злоумышленник посылает электронное письмо в HTML-формате, содержащее вложенный выполняемый файл, и при этом изменяет тип MIME-заголовка на некорректный, то Explorer на машине жертвы не сможет определить тип вложения и запустит этот файл автоматически при получении электронной почты.
Используя эту уязвимомость, злоумышленник может выполнить на атакуемом компьютере любые действия, включая добавление, изменение или удаление каких-либо данных, соединение с каким-либо Web-сайтом, запуск на выполнение вирусного файла, форматирование жесткого диска и т.д.

«Заплатка», устраняющая вышеупомянутую ошибку в Internet Explorer расположена по адресу: http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp