Специалисты компании Secunia обнаружили еще две уязвимости в браузере Microsoft Internet Explorer 6, позволяющие выполнить сценарий при посещении определенного сайта и получить доступ к системе.

На данные уязвимости, по утверждению экспертов компании, до сих пор не выпущен патч. Им присвоена категория опасности "высоко критичные". Первая уязвимость вызвана недостаточным уровнем анализа событий перетаскивания (drag and drop) изображений и медиа-файлов во встроенным HTML-кодом из зоны "Интернет" в "Локальную зону". При её помощи становится возможным выполнить вредоносный код на компьютере пользователя. Уязвимости подвержены системы, на которых не установлен патч ServicePack 2, который не позволяет выполнять активные сценарии в "Локальной зоне". Однако эту защиту можно преодолеть, используя вторую уязвимость. Ошибка site/zone restriction позволяет создать специальный индексный файл формата .hhk, что позволит исполнять сценарии в HTML-документах в "Локальной зоне" или в контексте предыдущего загруженного документа с использованием обработчика Javascript URI. Уязвимость позволяет обойти ограничения на выполнение сценариев, установленные в SP2.

Комбинация двух уязвимостей вместе с некорректным действием компонентов ActiveX может привести к вторжению на компьютер, даже если на нем установлен SP2. Для решения проблемы рекомендуется отключить в настройках безопасности браузера опцию "Перетаскивание или копирование и вставка файлов", и установить максимальный уровень безопасности для зоны "Интернет", сообщает cnews.ru