Κρίσιμα updates για τον Internet Explorer 5.5 και 6.0


Η Microsoft κυκλοφόρησε ένα πακέτο που συγκεντρώνει updates για μερικά ιδιαίτερα κρίσιμα προβλήματα ασφαλείας που παρουσιάζουν οι πιο πρόσφατες εκδόσεις του Internet Explorer.Το πακέτο, το οποίο, σύμφωνα με την εταιρεία, είναι μεγάλης σημασίας και πρέπει να εγκατασταθεί αμέσως, συμπεριλαμβάνει updates για όλα τα κενά ασφαλείας που έχουν εντοπιστεί μέχρι τώρα στον Internet Explorer, καθώς και τρία που δημοσιεύονται για πρώτη φορά τώρα και παρέχουν τη δυνατότητα σε τρίτους να εκτελέσουν προγράμματα της επιλογής τους στον υπολογιστή-στόχο.

Σημειώνεται πως η Microsoft δεν υποστηρίζει πλέον με hotfixes προηγούμενες της 5.5 εκδόσεις. Ως εκ τούτου, οι κάτοχοι προηγούμενων εκδόσεων (Windows 98 κ.λπ.) θα πρέπει είτε να αναβαθμίσουν τουλάχιστον στην έκδοση 5.5 SP2, είτε να επιλέξουν κάποιο άλλο πρόγραμμα πλοήγησης στο Internet.

Τα τρία νέα προβλήματα είναι τα εξής:

  1. Το πρώτο και σημαντικότερο αφορά ένα λάθος κατά τη διαχείριση των URL και του είδους του περιεχομένου τών προς μεταφορά δεδομένων. Το λάθος αυτό επιτρέπει σε κάποιον κακόβουλο τρίτο να τροποποιήσει έναν HTML header σε μια σελίδα ή σε ένα HTML e-mail, έτσι ώστε ο Internet Explorer να θεωρήσει ότι ένα εκτελέσιμο αρχείο είναι κάτι άλλο, και να το εκτελέσει χωρίς να ζητήσει τη συγκατάθεση του χρήστη. Το πρόβλημα αυτό αφορά μόνο την έκδοση 6.0 του Internet Explorer και όχι την 5.5.
  2. Το δεύτερο αποτελεί παραλλαγή του προβλήματος ''Frame Domain Verification'', το οποίο επιτρέπει σε κάποιον κακόβουλο Web master να ανοίξει δύο παράθυρα (ένα στον υπολογιστή-θύμα και ένα στο σύστημά του) και να διαβάζει τα περιεχόμενα αρχείων που βρίσκονται στον πρώτο μεταφέροντάς τα μέσω των ανοικτών παραθύρων από τον πρώτο στο δεύτερο. Το πρόβλημα αυτό αφορά μόνο αρχεία που μπορούν να ανοιχθούν μέσω του Internet Explorer (HTML, εικόνες, απλά αρχεία κειμένου κ.τ.λ.) ενώ έχει εντοπιστεί τόσο στην έκδοση 5.5 όσο και στην έκδοση 6.0 του Internet Explorer.
  3. Το τρίτο πρόβλημα αφορά τις ρουτίνες εμφάνισης του ονόματος των αρχείων στο παράθυρο ''File Download''. Ο IE είναι σχεδιασμένος έτσι, ώστε, όταν συναντήσει κάποιους ''ειδικούς'' χαρακτήρες στο όνομα ενός αρχείου προς μεταφορά, να σταματήσει να εμφανίζει το υπόλοιπο όνομα. Το γεγονός αυτό επιτρέπει σε κάποιον τρίτο να ωθήσει τον IE να εμφανίσει μόνο ένα μέρος του ονόματος του αρχείου. Για παράδειγμα σε ένα αρχείο FILENAME.TXT.EXE θα μπορούσε να προσθέσει τους κατάλληλους χαρακτήρες μετά το .TXT και πριν το .EXE, έτσι ώστε κατά τη μεταφορά να εμφανιστεί μόνο το FILENAME.TXT και όχι το πλήρες όνομα. Το πρόβλημα αυτό έχει εντοπιστεί τόσο στην έκδοση 5.5 όσο και στην έκδοση 6.0 του Internet Explorer.

Οι ενδιαφερόμενοι μπορούν να κατεβάσουν το update από τη σχετική σελίδα της Microsoft: http://www.microsoft.com/windows/ie/downloads/critical/Q313675/default.asp