Microsoft опубликовала бюллетень безопасности (KB2501696), посвященный незакрытой уязвимости (CVE-2011-0096) в реализации формата MHTML. Используя ошибки в разборе данных протокола MHTML, злоумышленник может выполнить произвольный скрипт на стороне клиента (XSS-атака), который приведет к возможной утечке пользовательских данных касающихся активности в сети Интернет. Для использования обнаруженной уязвимости пользователь уязвимой системы должен перейти по ссылки на специально сформированный MHTML документ. После дополнительного анализа уязвимости экспертами компании Microsoft будет принято решение о выпуске обновления безопасности или предложены другие способы устранения описанной уязвимости. Специалисты компьютерной безопасности считают, что компания Microsoft признает обнаруженную уязвимость скрытой возможностью, существенно расширяющей функционал операционных систем семейства Windows. Тем более что документация по новой функции уже есть, по крайней мере, в рамках опубликованного бюллетеня безопасности.
Подробнее