Secunia.com napisał(a):Secunia informuje o odkryciu dwóch poważnych luk w Internet Explorerze 6.0, z których jedna występuje również w systemie Windows XP pomimo zainstalowania SP2. Pierwszą, mniej groźną "dziurą", jest niewystarczająca weryfikacja zdarzeń drag and drop podczas przeciągania elementów ze strefy Internet do strefy lokalnej. Problem występuje w plikach graficznych i multimedialnych z dołączonym kodem HTML. W strefie lokalnej, jeśli zostanie pobrany odpowiednio spreparowany plik, może dojść do automatycznego wykonania skryptu. Posiadacze poprawki SP2 nie mają się czego obawiać, gdyż po jej zainstalowaniu system nie zezwala na uruchamianie Active Scripting w strefie lokalnej. Znacznie groźniejszy jest błąd pozwalający na zdalne uruchomienie, za pomocą odpowiednio spreparowanego pliku indeksu (HHK), przechowywanego lokalnie pliku HTML. Z tym błędem SP2 sobie nie radzi.
Dla zaatakowanego systemu niebezpieczne jest połączenie obu wspomnianych błędów z wykorzystaniem ActiveX Data Object. Potwierdzono, że nawet gdy zainstalowano SP2, a Internet Explorer 6.0 wyposażono w najnowsze poprawki, taki kombinowany atak pozwala na przejęcie kontroli nad systemem.
Secunia radzi, by całkowicie wyłączyć Active Scripting.
I tak w nieskończoność w IE będą błędy :twisted: