Веб-сайт, публикующий ПО open-source, предлагает поправку, которая устраняет пробел в защите Internet Explorer, однако аналитики и разработчики относятся к ней с большим подозрением.

На сайте Openwares.org опубликована поправка, решающая критическую проблему защиты веб-браузера Microsoft Internet Explorer, однако разработчики ПО и аналитики не рекомендуют ее устанавливать.

Уязвимость, о которой идет речь, позволяет IE показывать в поле адреса один URL, хотя отображаемая страница загружается совсем из другого места Сети. Это вынуждает пользователей опасаться махинаций типа выуживания банковских реквизитов, когда пользователю приходит письмо якобы из банка с просьбой кликнуть на ссылке, чтобы зайти на веб-сайт банка и «подтвердить» свои реквизиты. Грубые фальшивки такого рода распознать легко, так как в поле адреса указан URL, отличный от URL банка, но более изощренные схемы с использованием уязвимости IE делают подлог менее очевидным.

Несмотря на кажущуюся привлекательность загрузки поправки — эквивалента которой у Microsoft пока нет, аналитики не рекомендуют этого делать. Главный аналитик Ovum Грэм Титтерингтон с подозрением относится к патчу и рекомендует дождаться выхода официальной поправки, так как, даже если патч Openwares.org и работает, он может вызвать проблемы с установкой будущих обновлений от Microsoft. «У них нет доступа к исходному коду, а у Microsoft есть, — говорит Титтерингтон. — Даже если этот патч добросовестно выполнен и работает, в какой степени он совместим с будущими поправками Microsoft?».

Opensource.org, утверждает, что с момента публикации в прошлый понедельник патч загрузили около 1000 раз. Этот сайт публикует ПО, которое разрабатывают и присылают его читатели. Некоторые участники дискуссий среди программистов относятся к этой поправке с опаской, так как она отправляет адреса URL на серверы автора, что само по себе нечисто с точки зрения соблюдения privacy. Сторонники патча возражают на это, что переадресуются только подозрительные URL и без этого, возможно, не обойтись. К тому же Microsoft, признавшая наличие ошибки две недели назад, до сих пор так ничего и не предложила.

«Подождите, Microsoft выпустит патч, — уверяет Титтерингтон. — Информация об ошибке стала достоянием гласности без ведома Microsoft, поэтому компания не успела заблаговременно подготовиться».

В Microsoft не смогли прокомментировать ход дел по созданию поправки или дать какую-либо рекомендацию относительно использования патча open-source; однако на веб-сайте технической поддержки Knowledge Base компании в числе прочих решений пользователям советуют, прежде чем кликать на ссылках, скопировать их в notepad, чтобы увидеть реальный адрес назначения. Если в URL содержатся символы «%00», «%01» или «@», это подозрительно, если нет, то его можно смело открывать. В альтернативных браузерах, таких как Mozilla и Opera, такой проблемы не существует.

Мюнир Котадиа (Munir Kotadia), ZDNet (UK)

23 декабря, 2003, 12:18

ZDNet