Újabb összegző javítás az Internet Explorerhez – érdemes telepíteni!

Az Internet Explorer 5.01, 5.5 és 6.0-s változatokhoz korábban kiadott összes javítást tartalmazza a 828750-es frissítés, és ezen felül további két biztonsági rést is kiiktat a böngészőből.

Ezen új hibák közül az első abból származik, hogy az Internet Explorer nem képes megfelelően meghatározni egy objektum típusát, melyet egy webszerver egy popup ablakban küld vissza a böngészőnek. Ezt a hiányosságot arra használhatja fel egy támadó, hogy saját ízlése szerinti kódot futtasson a célpont rendszeren. Ehhez pedig nincs is szüksége másra, minthogy rávegye a leendő áldozatokat: látogassanak el website-jára. Amennyiben ez bekövetkezik, semmilyen egyéb felhasználói beavatkozásra nincs szükség ahhoz, hogy a hiba kihasználható legyen a rosszindulatú behatoló számára. ˝Természetesen˝ ugyanez a hatás érhető el egy speciálisan kialakított, HTML-es e-mail esetében is.

A második hiányosság tulajdonképpen majdnem ugyanerre a mechanizmusra épül: a Microsoft böngészője nem képes megfelelően meghatározni egy objektum típusát, amit egy webszervertől kap vissza, míg az XML adatokkal dolgozik. Kihasználási lehetőségei teljes mértékben megegyeznek az első biztonsági hiányosság esetén említettekkel. Ráadásul azt is felfedezték, hogy akkor sincsen biztonságban a felhasználó, ha magától nem látogat meg kétes biztonságúnak tartott webhelyeket. A támadók ugyanis a Windows Media Player WMP képessége révén meg tudnak nyittatni URL-eket a célpont rendszerben.

Amennyiben a felhasználó még nem telepítette a HTML Help frissítést, ezen javítás feltétele után a HTML Help nem fog működni. Ezt orvosolni lehet a megfelelő patch telepítésével. Szintén gyógyírt jelent az úgynevezett Kill Bit problémára is, mely az ActiveX-ben rejtőzik.