Вам, любители окошек

[dil]

A vulnerability has been reported in Microsoft Windows, which can be exploited by malicious people to compromise a user's system.

The vulnerability is caused due to an unspecified error in the handling of animated cursors and can e.g. be exploited by tricking a user into visiting a malicious website using Internet Explorer or opening a malicious e-mail message.

Ну и вот еще: http://www.kb.cert.org/vuls/id/191609

Что же предлагает вам производитель?

• We continue to encourage customers follow our Protect Your PC guidance of enabling a firewall, getting software updates and installing anti-virus software.


• Customers who believe they have been attacked should contact their local FBI office or post their complaint on the Internet Fraud Complaint Center Web site.
Бедное ФБР. Что они будут делать с атакованными леммингами - мне лично совершенно непонятно.

• We recommend that customers exercise extreme caution when they accept file transfers from both known and unknown sources.
Агащазблин. Кто б еще пользователя спрашивал, когда к нему эти анимированные курсоры закачиваются.

• Keep Windows Updated. All Windows users should apply the latest Microsoft security updates to help make sure that their computers are as protected as possible.
Хороший совет. Только вот конкретно против этой уязвимости патча-то как раз еще не выпустили.

Ну и всё. Дальше как хотите.

А между тем, утверждается, что она уже вовсю используется нехорошими людьми.

Вот тут внизу страницы есть ссылка на патч, если кому интересно.

Comments

[livejohan.livejournal.com]

Как страшно жить... Тем не менее, смешивать дырки в винде и дырки в конкретно ИЕ - не совсем правильно, имхо.

[dmarck.livejournal.com]

Штука в том, что IE слишком глубоко в GUI закопан, и не пользоваться IE для броузинга сайтов - не означает не попадать на его дыры.

[livejohan.livejournal.com]

Это да :-(

[dil.livejournal.com]

Формально да. Но этот IE приделан туда в качестве барузера по умолчанию и вдоабвок неявно используется в качестве средста отображения HTML в куче мест, включая OE. Сколько процентов пользователей Windows не пользуются ни IE, ни OE? Правильно, единицы.

[webushka.livejournal.com]

Угу. Даже видео есть, не конкретно про эту дырку, но всё же:
http://www.youtube.com/watch?v=LZhX6FcgGfs

[bromi.livejournal.com]

Оссподя, ну сколько уже можно? Я гарантирую, что написать на сайте "я троян, скачайте меня" (ну, или "я голая анна курникова) гораздо эффективнее любой бывшей и будущей дырки в ИЕ.

[dil.livejournal.com]

Как сказать. Оградить офисного юзера от посещения сайтов с голой курниковой можно техническим средствами. А от чтения почты с произвольными вложениями на бесплатной почтовой службе, или даже в корпоративном ящике - гораздо сложнее. А там задействуется тот же IEшный движок.

[max-gashkov.livejournal.com]

Что-то мне подсказывает, что корпоративный файрволл будет на раз отрезать некорректно сформированные курсоры.

[ctpeko3a.livejournal.com]

Производитель предлагает всем проапгрейдиться в Висту:

Customers who are using Internet Explorer 7 on Windows Vista are protected from currently known web based attacks due to Internet Explorer 7.0 protected mode.

[dil.livejournal.com]

Это он где советует?
На http://www.microsoft.com/technet/security/advisory/935423.mspx виста указана в списке уязвимых систем.

[ctpeko3a.livejournal.com]

На этой же странице и советует. Первый абзац в Mitigating Factors for Animated Cursor Vulnerability

[dil.livejournal.com]

а этот protected mode там по умолчанию включен или нет?

[ctpeko3a.livejournal.com]

Включён.