[Switchman]

Цитата:

Еще один баг, который обнаружил в веб-браузере Microsoft Internet Explorer 18-летний график-дизайнер Сэм Гринхалш, помогает злоумышленникам обманывать пользователей интернета, выуживая у них конфиденциальную информацию и заставляя исполнять вредоносные программы.

Составив URL особым образом, в браузер можно поместить окно, отображающее любой выбранный атакующим адрес: это позволяет мошеннику создать впечатление, что отображается, скажем, www.zdnet.ru, — на самом же деле загружается контент из другого источника. Этим способом жертву легко ввести в заблуждение с целью выведать персональные данные, например, прислать письмо от имени интернет-банка или другого подобного сайта с просьбой изменить пароль.

«Вы можете представиться кем угодно и заставить кого угодно исполнить нужную вам программу, — пояснил инженер по компьютерной безопасности Дрю Коупли. — Конечно, это не конец света, но забот у Microsoft прибавится».

Коупли, который работает в американской компании eEye Digital Security, сам специализируется на ошибках IE. На его счету множество выявленных в вездесущем веб-браузере проблем. Хотя последний баг не позволяет атакующему пробраться в систему традиционным методом «дистанционного взлома», он лишает пользователя возможности определить, кому можно доверять. «Если адрес выглядит правильно, вы не станете возражать против загрузки чего-либо с этого сайта, нажмете на нужные кнопки и введете пароль или что-там еще потребуется», — поясняет он.

Однако верхние строчки списка самых опасных уязвимостей Microsoft займут, вероятно, более серьезные ошибки, обнаруженные недавно китайской секьюрити-группой, считает Коупли. Три из них позволяют атакующему дистанционно войти в систему. У пользователей есть возможность уменьшить риск, запретив функцию active scripting, которая позволяет браузеру исполнять скрипты и код ActiveX, но это ограничит функциональность браузера, говорит Коупли.

ZDNet писал.