|
|
Корпорация Microsoft выступила с заявлением, обращенным к пользователям броузера Internet Explorer, сообщающим о том, что в коде броузера обнаружено и устранено две программные ошибки, позволявших злоумышленникам осуществлять несанкционированные действия от имени броузера пользователя. Худшая из двух ошибок допускала возможность вмешательства в процесс проверки реестра аннулированных свидетельств (Certificate Revocation List – CRL). В случае, если в настройках броузера проверка была включена, хакеры имели возможность отключить способность броузера проверить, истек ли срок свидетельства о регистрации на каком-либо из сайтов. Таким образом, сайт, на котором осуществлялась регистрация (например банковский ресурс), в любом случае признавал сертификат действующим. В этом случае, нельзя было исключать возможность того, что сотрудник, имевший доступ к закрытым ресурсам, но лишенный его после увольнения, не сможет войти в систему снова. Вторая ошибка позволяла хакерам отображать в адресной строке броузера URL, отличающийся от того, с которым реально обменивался информацией броузер. Эксперты Microsoft заявляют, что эта ошибка могла быть допущена даже при запущенном приложении безопасности Secure Sockets Layer. Патч к Internet Explorer, вносящий исправления этих ошибок уже доступен для скачивания. Источник: Журнал "Компьютерра" |
|