Новая дыра от Microsoft: ваши cookies может читать кто угодно

Author:

В четверг, 8 ноября, корпорация Microsoft опубликовала очередной «бюллетень безопасности«. На этот раз в своем браузере IE версий, как минимум, 5.5 и 6.0 корпорация обнаружила дыру, которой была присвоена наивысшая категория по степени риска для систем пользователей.

Как оказалось, если веб-сайт сконфигурировать определенным образом и поместить на нем некий определенный url, то оператору сайта станет доступна любая информация, хранящаяся в файлах cookies пользователя. Стандартно cookies, записанные на машине пользователя одним сайтом, предоставляются для считывания только этому, внесшему запись, сайту. Однако, благодаря новой дыре у злоумышленника появилась возможность считывать информацию не только из своих, но и из чужих cookies.

Помимо считывания информации из чужих cookies, благодаря все той же дыре, злоумышленник может также произвольно изменять информацию, хранящуюся в этих файлах пользователя.

Microsoft сама признает, что эта дыра очень опасна. Однако, в ближайшее время залатать ее не обещает. Как сообщает ZDNet, корпорации потребуется для написания и выпуска необходимого патча «весьма значительное время».

Соответственно, на данный момент единственно возможный способ борьбы с потенциальной угрозой — либо полное отключение cookies, что не всегда удобно, либо по крайней мере временный переход на использование какого-нибудь другого браузера.

blank
ССЫЛКИ ПО ТЕМЕ blank

blank
Microsoft
blank
Информационный бюллетень Micrsoft
blank
IE flaw puts credit card info at risk — ZDNet, 09.11.01

blank
МАТЕРИАЛЫ ПО ТЕМЕ blank

blank
Неприступный криптопроцессор IBM взломан09.11.01

blank
Европарламент хочет запретить cookies01.11.01

blank
Microsoft классифицировала свои критические дыры16.10.01

blank
20 самых больших напастей Интернета04.10.01

blank
Хакер зашел в сеть Microsoft, как ребенок в кондитерскую28.08.01

blank
Программа для взлома серверов Microsoft разошлась по Сети04.07.01

blank
Дыра позволяет доступаться к маршрутизаторам Cisco без авторизации02.07.01

blank
В маршрутизаторах Cisco найдена «дыра»14.05.01

blank
«Дыры» в Internet Explorer уже никого не удивляют27.09.00