eEye: обнаружены уязвимости в процессе инсталляции IE и Outlook

9/09/2005 10:58

Компания eEye Digital Security обнаружила слабое звено в стандартном процессе установки Microsoft Internet Explorer, Outlook и Outlook Express. Общий компонент этих приложений подвержен ошибке переполнения буфера, что в свою очередь позволяет злоумышленнику получить дистанционный доступ к системе пользователя, утверждает старший директор по маркетингу продуктов eEye Майк Петербах. eEye, разославшая предупреждение об этой проблеме в конце прошлой недели, отмечает, что она затрагивает системы с Windows XP с Service Pack 0 или 1 и системы Windows 2000. Секьюрити-фирма отмечает, что она все еще изучает проблему и не исключено, что она проявляется и с другими версиями операционной системы. Microsoft не известно о каких-либо атаках с использованием данной уязвимости. После выпуска в прошлом месяце объединенного обновления для браузера IE в нем уже было найдено несколько уязвимостей — от уязвимости версии 6 на Windows XP с Service Pack 2 до уязвимости IE, связанной с файлом Microsoft DDS Library Shape Control. «Я не удивлюсь, если Microsoft в ближайшем будущем выпустит еще одно объединенное обновление для IE», — сказал Петербах. eEye передала Microsoft подробную информацию об обнаруженной уязвимости, но не публикует ее, пока производитель не разработает соответствующую поправку или не выпустит рекомендации. «Microsoft активно изучает эти сообщения, — сказал представитель софтверного гиганта. — По завершении процесса изучения Microsoft примет надлежащие меры, чтобы защитить своих заказчиков». Сейчас eEye готовит 12 рекомендаций по уязвимостям для публикации после того, как поставщики выпустят заплатки или предложат обходные пути. Девять из них относятся к продуктам Microsoft.
Подробности