Вячеслав Ансимов
Немецкий веб-разработчик
Цифровой сертификат пересылается от сайта к пользователю и служит свидетельством подлинности и надежности источника информации. То есть сайт в настоящее время действительно принадлежит компании, заявленной в сертификате, выданном компетентной организацией на заданный срок. Получив такой сертификат, пользователь может, например, разрешить передачу на свой компьютер и активизацию различных выполняемых кодов или, в свою очередь, предоставить компании какие-либо конфиденциальные данные. Подделав сертификат, все эти действия может инициировать и злоумышленник.
Дыра в IE с 5 по 6 версий была обнаружена 26 ноября, о чем Microsoft сразу же была поставлена в известность. Корпорация попросила не разглашать информацию до выхода патча, на разработку которого потребуется некоторое время. Однако патч до сих пор не вышел. Вместо этого Microsoft присылает E-matters некие сложные и пространные описания и разъяснения, проверить которые без исходного кода IE невозможно.
Сразу поле Рождества 25 декабря E-matters стало известно, что такого же типа дыра была обнаружена компанией
Пока не выпущена заплатка, распознать подделку можно лишь визуально: домен, указанный в сертификате, не будет совпадать с фактическим адресом сайта.
Функция Authenticode, реализующая работу с цифровыми сертификатами в IE, автоматически такую проверку не делает. А проверять сертификаты в “ручном” режиме будут только параноики, отметил обнаруживший дыру Штэфан Эссер.
ССЫЛКИ ПО ТЕМЕ |
МАТЕРИАЛЫ ПО ТЕМЕ |
Microsoft закрыла все дырки – 17.12.01
Новая дыра от Microsoft: ваши cookies может читать кто угодно – 12.11.01
Microsoft пускает в Сеть только со своим браузером – 29.10.01
Подмена настроек браузера: ответный удар Yahoo! – 23.10.01
Вячеслав Ансимов
“Рамблер” и SpyLOG готовы к IE 6, обрезающему cookies – 28.08.01
Заплатка к браузеру IE запретила смотреть “Звездные войны” – 16.08.01
“Дыры” в Internet Explorer уже никого не удивляют – 27.09.00