Ошибка в компоненте управления скриптами позволяет атакующим исполнять на локальном ПК собственный код через механизм сценариев. В распространенном в среду заявлении Microsoft называет уязвимость критической.

Хотя ошибка присутствует во всех версиях Windows - от Windows 98 до Windows XP, степень потенциальной опасности ограничивается двумя факторами. Во-первых, в клиентах e-mail уже приняты меры безопасности для защиты от таких HTML-сообщений. Во-вторых, чтобы сыграть на такой ошибке через веб-страницу, злоумышленник должен заманить жертву на свой веб-сайт.

Это уже вторая за последнюю неделю крупная брешь в защите продуктов Microsoft. В понедельник софтверный гигант предупредил, что ранее неизвестная ошибка в одном из компонентов Internet Information Services (IIS) Server 5.0 позволила хакерам проникнуть в компьютерную систему по крайней мере одного заказчика. Во вторник представитель Армии США признал, что пострадал сервер военных.

Ошибка Windows проявляется в том, как операционная система управляет JScript, собственной версией Microsoft языка JavaScript, которую компания официально называет ECMAScript Edition 3. Атакующий, чтобы воспользоваться этой уязвимостью, может либо направить потенциальной жертве e-mail со специально сформированным скриптом, либо включить такой скрипт в структуру веб-сайта и каким-то образом заставить пользователя загрузить эту страницу в Internet Explorer.

По словам Малхолланда, клиенты e-mail и интернет-браузеры, в которых поддержка скриптов отключена, неуязвимы для такой атаки. Кроме того, к подобным атакам реализуемым через HTML e-mail, неуязвимы Outlook Express 6.0 и Outlook 2002, если эти клиенты работают при параметрах конфигурации по умолчанию. Более ранние версии Outlook можно сделать неуязвимыми, если установить Outlook E-mail Security Update.

© Роберт Лемос (Robert Lemos), CNET News.com
20 марта, 2003