Сезон охоты на ословодов.

10 декабря корпорация Майкрософт в своем Центре безопасности TechNet опубликовала совет по безопасности при работе с ослами всех мастей от 5 до 7.
Связано это было с тем, что была выявлена уязвимость, позволяющая удаленное выполнение кода.

Корпорация Майкрософт изучает новые сообщения об атаках с использованием недавно обнаруженной уязвимости в браузере Internet Explorer, полученные из открытых источников. На данный момент исследование показало, что целью подобных атак является браузер Windows Internet Explorer 7 в поддерживаемых выпусках Windows XP с пакетом обновления 2 (SP2), Windows XP с пакетом обновления 3 (SP3), Windows Server 2003 с пакетом обновления 1 (SP1), Windows Server 2003 с пакетом обновления 2 (SP2), Windows Vista, Windows Vista с пакетом обновления 1 (SP1) и Windows Server 2008. Microsoft Internet Explorer 5.01 Service Pack 4, Microsoft Internet Explorer 6 Service Pack 1, Microsoft Internet Explorer 6 и Windows Internet Explorer 8 Beta 2 на всех поддерживаемых в настоящее время версиях Microsoft Windows также потенциально уязвимы.

Уязвимость представляет собой некорректный указатель в функции привязки данных в Internet Explorer. В случае, если функция привязки данных включена (что является состоянием «по умолчанию»), при определенных обстоятельствах, возможно, что объект будет высвобожден без изменения длинны массива, оставляя возможность доступа к области памяти, ранее используемой удаленным объектом. Это может вызвать неожиданное завершение программы Internet Explorer, и её переход в состояние, которое потенциально уязвимо.

Факторы, снижающие опасность описанные в сообщении от MS:

• Защищенный режим браузера Internet Explorer 7 и Internet Explorer 8 в системе Windows Vista ограничивает степень воздействия уязвимости.
• По умолчанию обозреватель Internet Explorer в системах Windows Server 2003 и Windows Server 2008 работает в ограниченном режиме, называемом Конфигурация усиленной безопасности. В этом режиме для уровня безопасности зоны Интернет устанавливается значение «Высокий». Это один из факторов, снижающих опасность уязвимости веб-узлов, которые не добавлены в зону «Надежные узлы» обозревателя Internet Explorer..
• Злоумышленник, успешно воспользовавшийся данной уязвимостью, может получить те же самые права, которые имеет локальный пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.
• Посредством известных в настоящее время атак невозможно воспользоваться этой уязвимостью автоматически по электронной почте.

Корпорация Майкрософт рекомендует включить брандмауэр и установить все обновления программного обеспечения, а также антивирусные и антишпионские программы в соответствии с рекомендациями из раздела «Защитите свой компьютер«.
Что действительно меня улыбнуло, так это то что:

Сведения в данном документе предоставляются «как есть», без каких-либо гарантий. Корпорация Майкрософт не предоставляет каких-либо гарантий, явных или подразумеваемых, включая любые гарантии товарности или пригодности для использования в определенных целях. Корпорация Майкрософт и ее поставщики ни при каких обстоятельствах не несут ответственности за возможный ущерб, включая косвенный, случайный, прямой, опосредованный и специальный ущерб, а также упущенную выгоду, даже если корпорация Майкрософт или ее поставщики заранее были извещены о возможности такого ущерба. Если действующее законодательство не допускает отказа от ответственности за косвенный или случайный ущерб, то описанные выше ограничения не действуют.

Круто. Из всего выше сказанного следует примерно следующее: «Делайте как мы говорим, но если что-то пойдет не как, мы не виноваты».
Это пиздец, господа. Я конечно недолюбливаю ИЕ лютой ненавистью , из-за патологической неработоспособности, но такого откровенного идиотизма я от мелгомягких не ожидал.