Согласно опубликованному Microsoft бюллетеню, XP и Server 2003 с IE7 неверно обрабатывают некоторые виды Uniform Resource Identifier. Если особым образом подготовить такой идентификатор, то при щелчке на него в системе может запуститься посторонний код. В Microsoft подчеркивают, что под угрозой находятся только ПК с IE7, но компьютеры с Vista ошибке не подвержены.

Согласно сообщению в блоге Microsoft Security Response Center, в корпорации идет работа над обновлением безопасности, которое исправит код обработки URI. По словам специалистов Microsoft, ошибка состоит в том, что IE7, обнаружив некорректно составленный URI, содержащий символ %, передает идентификатор команде ShellExecute, служащей для запуска исполняемых файлов. В таких случаях обработка URI оказывается небезопасной.

В Microsoft тем не менее подчеркивают, что сторонним разработчикам приложений тоже следует обеспечить в них более строгую аттестацию URI, чтобы некорректные идентификаторы не передавались команде ShellExecute(). Это уже сделали, в частности, Mozilla в Firefox и Skype в своем VoIP клиенте. Adobe собирается внести соответствующие исправления в Reader и Acrobat.

Поделитесь материалом с коллегами и друзьями