CNET, Сентябрь 28, 1999

Microsoft выпустила очередные заплаты для своего браузера, которые должны устранить возможность проникновения в компьютер пользователя операторов вебсайтов.

Одна заплата исправляет работу функции Импорт/Экспорт Закладок браузера (ImportExportFavorites), при помощи которой можно переносить списки наиболее часто посещаемых вебсайтов. Существующая ошибка позволяет оператору-злоумышленнику какого-либо вебсайта запустить на машине посетителя исполнительный файл и получить полный доступ к компьютеру пользователя.

Об такой опасности Microsoft предупредила пользователей в начале месяца.

Заплата, предлагаемая Microsoft, снимает указанную проблему в браузерах версий 4.01 и 5.0, а также в работе некоторых скриптов ActiveX указанных браузеров.

ActiveX уже давно является головной болью Microsoft и мишенью для критики из-за потенциального риска нарушения безопасности браузера - когда пользователя уверяют, что установленое соединение и загружаемый файл полностью безопасны и "подтверждают" это подписью, то это может не всегда соответствовать действительности.

Недавно Microsoft пришлось признать, что 8 скриптов ActiveX были "...некорректно обозначены как безопасные, не являясь таковыми на самом деле". Злоумышленник может воспользоваться ими в ущерб пользователю. К числу ненадежных скриптов отнесены - Kodak Image Edit: Wang Imaging; Kodak Image Annotation: Wang Imaging; Kodak Image Scan: Wang Imaging; Kodak Thumbnail Image: Wang Imaging; Wang Image Admin: Wang Imaging; HHOpen: HTML help files; Registration Wizard: Internet Explorer Product Registration и IE Active Setup: Internet Explorer Setup.

CNET, Октябрь 14, 1999

Недоработка в Microsoft-овской версии Java позволяет злоумышленнику через Интернет удалять файлы на машине доверчивого пользователя.

Карстен Сор (Karsten Sohr), выпускник Марбургского университета (Германия), обнаружил ошибку в системе безопасности Internet Explorer, которая позволяет замаскировать непроверенную Java-программу под проверенную. В Принстонском университете группа исследователей Secure Internet Programming создала демонстрационый апплет, который, используя этот пробел, позволяет проникнуть на машину пользователя и удалить файлы с жесткого диска.

Microsoft лицензировала Java у компании Sun в 1995 году и начала самостоятельно добавлять в язык собственные расширения, за что с 1997-го является ответчиком в судебном разбирательстве, инициированном Sun.

По утверждению компании Reliable Software Technologies ни одна из других версий Java, за исключением майкрософтовской, не обнаруживает упомянутую проблему.

Microsoft признала существование проблемы, но утверждает, что воспользоваться обнаруженной "дыркой" крайне трудно.

Источник: digest.com