Nová kumulativní záplata pro Internet Explorer (IE) je na světě. Obsahuje vedle již vydaných záplat i tři nové opravy.
První z nich se týká nebezpečí, které může vyplývat ze speciálně upraveného HTML kódu. Útočník, který takový závadný kód umístí na webovou schránku nebo pošle soubor v HTML podobě jako přílohu e-mailu, může dosáhnout jeho spuštění v systému Local Machine zone a získat tak přístup k napadenému počítači.
Kritická chyba doposud umožňovala falšovaní zobrazení internetových adres v adresářové listě IE. Útočníci k tomu využívají autentifikační systému typu „jmého:heslo@technet.cz“. Takto zadaná adresa normálně autentifikuje přístup uživatele na zmíněnou stránku. Útočníci však využívají trik, kdy je místo jména a hesla před zavináč vložena adresa falšovaného serveru, jako například www.microsoft.cz@technet.cz. Uživatel, který si nějaké stránce bude chtít kliknout na takto upravený odkaz, bude mít sice v adresářové liště zobrazený název www.microsoft.cz, ale ve skutečnosti bude na stránkách technet.cz, kam se přihlásil pod jménem www.microsoft.cz.
Další opravená chyba se také týká problematických stránek a e-mailů. Tentokrát se jedná o nebezpečí při provádění drag-and-drop operací v DHTML. Problém spočívá v možném uložení souboru bez upozornění na uživatelův disk, pokud tento uživatel klikne na speciálně upravený odkaz. Předchozí zmíněné problémy se však netýkají jen uživatelů, kteří k surfování využívají prohlížeč Internet Explorer. Instalovat by si jej měli všichni, kdo používají software Microsoftu, který může otevírat stránky ve formátu HTML. Další podrobnosti a odkazy na stažení objevíte v bezpečnostním bulletinu MS04-004.Zdroj: Microsoft
Související odkazy: