Об ещё одной из уязвимостей в IE сообщает ACROS Security. Из-за ошибки работы браузера с механизмом сертификатов SSL возникает возможность обойти защиту проверки подлинности сертификата SSL и убедить пользователя в том, что сертификат подлинный. В результате возникает возможность внедрения в кеш браузера специальным образом оформленных фальшивых документов (HML, графических файлов, файлов скриптов (.js), файлов таблиц (.css), других статических документов), которые затем могут быть использованы при посещении легитимных сайтов путём извлечения из кеша и предоставления в качестве страницы посещаемого сайта. Cказанное выше справидливо для HTTPS-сайтов, посещение которых обычно связано с работой с важной критичной информацией (номера крдитных карточек, сертификаты, например и т.д.). Последствия такой уязвимости очевидны. Уязвимость присутствует во всех версиях IE, в которых не установлен недавно вышедший кумулятивный патч 834707 (MS04-038). В выпущенном описании даются рекомендации по временной нейтрализации уязвимости в браузере - включить опцию "Do not save encrypted pages to disk". Также выданы рекомендации для различных Вэб-серверов - игнорировать заголовок браузера "If-Modified-Since".
Подробное описание