Nowy patch dla Internet Explorer

Wczorajszego dnia, Microsoft udostępnił kolejne łatki dla swojej przeglądarki internetowej – Internet Explorer w wersji 5.01, 5.5 oraz 6. Szczegółowe informacje dotyczące tego patcha znajdziecie tutaj, natomiast stąd można pobrać aktualne łatki.

Nowa łatka zawiera dotąd udostępniane aktualizacje, ale przede wszystkim usuwa dwie nowo odkryte, istotne luki w zabezpieczeniach. Pierwsza z nich dotyczy cookies: można w nich zagnieżdżać skrypty a tym samym wykorzystywać „ciasteczka” do ingerencji w dane na cudzym komputerze. Druga „dziura” pozwala hackerowi na zdalne uruchomienie dowolnej aplikacji w atakowanym systemie.

A vulnerability in the zone determination function that could allow a script embedded in a cookie to be run in the Local Computer zone. While HTML scripts can be stored in cookies, they should be handled in the same zone as the hosting site associated with them, in most cases the Internet zone. An attacker could place script in a cookie that would be saved to the user’s hard disk. When the cookie was opened by the site the script would then run in the Local Computer zone, allowing it to run with fewer restrictions than it would otherwise have.

A vulnerability in the handling of object tags that could allow an attacker to invoke an executable already present on the user’s machine. A malicious user could create HTML web page that includes this object tag and cause a local program to run on the victim’s machine.