Корпорация Microsoft отступила от традиции и опубликовала информацию о критической уязвимости до того, как выпущен патч, пишет Associated Press. На этот раз под ударом оказались пользователи Internet Explorer, работающие под ОС Windows XP или Windows Server 2003.
Собственно ошибка обнаружилась в модуле Microsoft Video ActiveX Control, однако он взаимодействует с браузером и поэтому для того, чтобы злоумышленники получили полный доступ к компьютеру, достаточно лишь зайти на зараженный сайт через Internet Explorer.
Злоумышленникам известно об ошибке уже в течение недели и отмечается, что за это время они успели создать тысячи зараженных страниц. Впрочем, в сообщении Microsoft говорится, что серьезность проблемы несколько сглаживается тем, что вредоносный код не распространяется сам по себе – чтобы его получить, нужно зайти на вредоносный сайт. Ссылки на подобные ресурсы обычно распространяются в виде спама по e-mail и инстант-мессенджерам и только от действий пользователя зависит, подвергнется ли он риску.
Кроме того, уязвимости не подвержены пользователи ОС Windows Vista и Windows Server 2008 – там Internet Explorer запускается в защищенном режиме, который не пропускает неизвестные элементы ActiveX. То же самое в Outlook и Outlook Express – письма в формате HTML по умолчанию просматриваются с ограничениями на выполнение ActiveX. Всем остальным пользователям, до выхода патча, рекомендуется отключить ActiveX самостоятельно.