[oia]

Очередная критическая дыра в браузере Internet Explorer
На веб-сайте корпорации Microsoft появилось уведомление о новой уязвимости в браузере Internet Explorer. Согласно предварительной информации, брешь может использоваться для получения несанкционированного доступа к удаленному компьютеру.

Проблема связана с тем, как Internet Explorer взаимодействует с модулем Msdds.dll (Microsoft DDS Library Shape Control), входящим в состав программных пакетов Microsoft Office и Microsoft Visual Studio. Нападение можно организовать через сформированную особым образом веб-страницу, загрузка которой через IE приведет к аварийному завершению работы приложения и последующему выполнению произвольного программного кода.

Патча для дыры в настоящее время не существует, однако Microsoft опубликовала _http://www.microsoft.com/technet/security/advisory/906267.mspx
ряд рекомендаций для защиты от возможных атак. Предполагается, что соответствующая заплатка войдет либо в следующую серию обновлений для программных продуктов Microsoft, либо будет выпущена в виде отдельного апдейта.

Примечательно, что уведомление о дыре было опубликовано корпорацией Microsoft на следующий день после того, как французские эксперты по вопросам компьютерной безопасности Fr-SIRT (French Security Incident Response Team) разместили _http://www.frsirt.com/exploits/20050817.IE-Msddsdll-0day.php на своем веб-сайте пример вредоносного кода, при помощи которого можно задействовать уязвимость. Кстати, на прошлой неделе команда Fr-SIRT уже публиковала _http://security.compulenta.ru/221934/ эксплойты для дыр в операционных системах Windows и браузере Internet Explorer, которые Microsoft устранила в начале августа