В понедельник специалисты по безопасности предупредили о проблеме в Internet Explorer 7, в результате которой злоумышленники могут подменять содержимое всплывающих окон, демонстрируемых легитимными веб-сайтами.

Проблема браузера может проявляться в том, что у тех пользователей, которые посещают надежный сайт, будет открываться всплывающее окно, содержащее вредоносный код. Это уже вторая проблема IE 7, обнаруженная с момента выпуска браузера две недели назад. На прошлой неделе в IE 7 был обнаружен баг, способный подменять адрес всплывающего окна.

Оба эти пробела в защите IE 7, если использовать их совместно, позволяют легко обмануть любого, кроме разве что самых осторожных пользователей, утверждает Томас Кристенсен, главный технолог секьюрити-компании Secunia, которая вскрыла эти проблемы.

Последний баг Secunia классифицирует как уязвимость, хотя Microsoft настаивает на том, что ситуация является «побочным режимом работы» браузеров. «Отчет (Secunia) описывает побочный режим работы популярных веб-браузеров, которые позволяют веб-сайтам открывать или многократно использовать всплывающее окно, — пояснил представитель Microsoft. — В Internet Explorer 7 в поле адреса всплывающего окна отображается истинный URL веб-страницы, что позволяет пользователям принимать верное решение».

Microsoft говорит, что те, кто следует правилам безопасного браузинга и проверяют соединение HTTPS, прежде чем вводить конфиденциальную персональную информацию, могут повысить степень своей защищенности от эксплойта.

Secunia называет последний баг «умеренно критическим», так как злоумышленники не получают доступа к компьютеру пользователя, который видит подложный контент. Тем не менее, он может причинить вред, если пользователь введет в подложное всплывающее окно такую информацию, как реквизиты кредитной карты или имя пользователя и пароль.

Secunia отмечает, что баг может проявляться в системе со всеми исправлениями, в которой работают IE 7 и Microsoft Windows XP Service Pack 2. Компания рекомендует пользователям избегать ненадежные сайты и заходить только на те веб-сайты, которым они доверяют.

Источник: Another IE 7 pop-up problem discovered (30.10.2006)

Дон Кавамото (Dawn Kawamoto), CNET News.com

31 октября, 2006, 9:08

"ZDNET Россия"