В начале марта корпорация Microsoft разместила на своем Web-узле “заплату” для Internet Explorer (IE), которая закрывает потенциальную дыру в защите, связанную с файлами ссылок и универсальных указателей ресурсов (URL).
Брешь в защите, обнаруженная студентами Вустерского политехнического института (шт. Массачусетс), позволяет Web-мастерам создавать такие файлы c расширениями .LNK и .URL и гиперссылки на них, с помощью которых можно будет запустить приложение на удаленной клиентской машине.
Например, тестовая ссылка, присутствующая на Web-странице Cybersnot ( http://www.cybersnot.com ), может запустить Windows Calculator на удаленной машине. Злонамеренные Web-мастера могут запускать DOS-приложения с такими параметрами в командной строке, что те будут создавать и уничтожать каталоги на машинах пользователей.
Злонамеренные URL-файлы могут выполняться под Windows NT, а под Windows 95 могут быть запущены и LNK-файлы. При этом никакими установками параметров защиты в IE невозможно устранить эту проблему.
В Navigator корпорации Netscape Communications подобных ошибок нет.
Пол Балл, менеджер по продукту IE, утверждает, что из-за этой недоработки не пострадал пока ни один пользователь и что никто прежде даже не замечал ее.
Фирма - разработчик ПО EliaShim (Пемброк-Пайнз, шт. Флорида) также предлагает бесплатное решение для пользователей IE. IE-Safe представляет собой встраиваемый модуль, который проверяет все ссылки на LNK-файлы и делает невозможным их выполнение из IE.
С компанией можно связаться по адресу: http://www.eliashim.com.
“Заплата” Microsoft находится по адресу: http://www.microsoft.com/ie/ default.asp.
Н. Л.
