Некий хакер выпустил неофициальный патч к критической уязвимости в Windows

Хакер под псевдонимом KJK::Hyperion выпустил неофициальный патч к критической уязвимости в Microsoft Windows и Internet Explorer.

18 октября 2007 в 18:09, просмотров: 753

Неофициальный патч устраняет причину уязвимости, очищая параметры вызова функции Windows ShellExecute(), через которую происходит эксплуатация. Функция служит для запуска файлов, открытия документов и перехода по URL, однако не делает никаких проверок на использование спецсимволов и другого нестандартного ввода. Microsoft предполагала, что такую проверку должны делать приложения, вызывающие функцию.

Хотя Firefox и Skype уже предотвратили возможность эксплуатации уязвимости, обновив свои продукты, другие приложения, такие как Adobe Reader, Outlook Express/2000, Miranda и mIRC, по-прежнему уязвимы.

Уязвимость, открытая два месяца назад и подтвержденная Microsoft 10 октября 2007 года, позволяет выполнять произвольные программы на локальном компьютере пользователя при помощи URL с префиксами, принадлежащими сторонним приложениям.

Microsoft не рекомендует устанавливать неофициальные патчи и советует дождаться обновления, сообщает Cnews.





Партнеры