11.03.2004, 13:59
Microsoft приняла критическую дыру за важную
Компания Microsoft выпустила обновленную версию бюллетеня безопасности MS04-009, в котором описывается дыра в пакете Outlook 2002. Первоначально данный бюллетень был выпущен в свет 9 марта вместе с двумя другими бюллетенями, касающимися иных программных продуктов Microsoft — операционной системы Windows и интернет-пейджера MSN Messenger. Первоначально дыра в Outlook 2002 была охарактеризована как важная.
Однако 10 марта софтверный гигант опубликовал обновленную версию бюллетеня MS04-009, в котором указанная уязвимость характеризуется уже как критическая. Как выяснилось, дыра актуальна для всех пользователей Outlook 2002, а не только тех, кто использует в качестве экрана по умолчанию папку Outlook Today. Поскольку в таком виде уязвимость представляет опасность для большего числа пользователей, в Microsoft повысили рейтинг ее опасности до максимально возможного.
Дыра в Outlook связана с механизмом обработки URL, начинающихся с "mailto:", то есть указывающих на адреса электронной почты. Злоумышленник может создать специальный URL, при открытии которого в Internet Explorer в системе может быть выполнен произвольный скрипт. Само собой, опасность имеется лишь в том случае, когда в качестве почтовой программы по умолчанию используется Outlook 2002. В противном случае, при щелчке на почтовый URL его обработкой займется другое приложение, для которого дыры в Outlook неактуальны.
Стоит также отметить, что устранить дыру в Outlook 2002 можно не только отдельным патчем, но и выпущенным на днях третьим сервис-паком для Office XP.
