Microsoft поместила на своем узле средство коррекции серьезной ошибки, найденной в Internet Explorer 4.0. Брешь была обнаружена хакером, который известен под псевдонимом DilDog, студентом колледжа из Массачусетса.

Он выяснил, что HTML-интерпретатор IE4 прекращает свою работу и выдает сообщение о переполнении буфера при обнаружении ссылки на URL с префиксом res://, длина которой превышает 256 символов. DilDog, в интервью службе News Radio PC World Online, отметил, что если в конце названия URL добавить двоичный код, он будет выполнен Windows 95 после сбоя интерпретатора HTML.

"Ошибка есть не только в браузере, но и в модулях просмотра конференций и персональной почты", - добавил он.

Чтобы доказать свою правоту, DilDog разместил на Web-узле хакерской группы L0pht (в которую он, по его словам, не входит) демонстрационную программу, добавляющую безобидную строчку в файл autoexec.bat пользователя. Программа запускается только в IE4, работающем в ОС Windows 95 версии А. По словам хакера, его открытие может нанести ущерб в гораздо более крупных масштабах.

"Я почти уверен, что узнав об ошибке, кое-кто уже поспешил 'снять сливки'. Некоторые люди только и ждут, когда появится возможность сделать кому-нибудь гадость".

Как утверждает менеджер по продуктам Microsoft Дэйв Фестер, компания выпустила средство коррекции менее чем через сутки после того, как стало известно об ошибке. Остается лишь удивляться, почему Microsoft не смогла обнаружить ошибку полгода назад.

"Разработчик Unix-приложений заметил бы подобный промах сразу же, - говорит DilDog. - Я нашел эту ошибку еще в бета-версии. Она появилась в Preview Release 1, прошла бета-тестирование с десятью тысячами участников и оставалась незамеченной в течение шести месяцев. Это совершенно непростительно для такой компании, как Microsoft".

Как сказал Фестер, DilDog не пытался обратиться непосредственно в Microsoft, чтобы сообщить о найденной ошибке, хотя компания всячески приветствует подобные инициативы.

Поделитесь материалом с коллегами и друзьями