Microsoft včera zveřejnil kumulativní opravu Internet Exploreru, která řeší tři vážné chyby. Jedna z nich je hodnocená jako kritická a umožňuje pomocí vhodně vytvořené HTML stránky nebo e-mailu číst soubory na disku uživatele nebo i spouštět vlastní kód, je tedy zneužitelná pro červy.
Další chyba se týká možnosti uložení souboru na disk uživatele bez výzvy k jeho uložení. Uživatel musí jen kliknout na odkaz a soubor se sám uloží – podobné fígle využívají různé dialery.
Poslední chyba se týká možnosti zneužití URL ve formátu http(s)://username:password@server/resource.ext, k podvržení adresy, ze které se jakoby načítají data. Jak jsme již dříve informovali, Microsoft toto vyřešil natvrdo tak, že úplně zablokoval používání této možnosti v rámci Internet Exploreru.
Je ale možné zásahem do registrů toto zase zpětně odblokovat a používat dál tento formát. V klíči:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
nebo jen pro jednoho uživatele v:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
je nutné vytvořit DWORD položky s názvy iexplore.exe a explorer.exe a přiřadit jim hodnotu 0. Podobně můžete toto povolit i pro jiné aplikace – zadává se jejich jméno programu.
Už jen kvůli prvním dvěma dírám je instalace vřele doporučována.
Záplaty na české verze:
