Специалисты из Института SANS (System Administration, Networking, and Security Institute) 17 июля объявили, что найдена "вероятно, наиболее опасная ошибка программирования", возможная на любых станциях, работающих под Windows 95, 98, 2000 и NT 4.0. Используя так называемую IE Script-"дыру", крекеры могут внедрять деструктивный код на Visual Basic в систему управления базами данных MS Access через MSIE.
Компьютеры пользователей, работающие под управлением указанных выше операционных систем уязвимы при предварительном просматривании и прочтении инфицированных E-mail сообщений даже без(!) открытия присоединенных файлов. Зловредный код, написанный на Visual Basic встраивается прямо в текст письма HTML-формата. Компьютеры также уязвимы к инфекции, если на них установлен Microsoft Access 97 или 2000, или если пользователь запускает любой почтовый клиент, такой как Outlook или Eudora, и даже при использовании Internet Explorer (4.0 и выше).
В соответствии с отчетом SANS, хакер может проникнуть на компьютер "жертвы", используя ActiveX в Microsoft Access, и при этом "жертва" даже не будет ничего подозревать. "Это очень серьезная проблема. Любой, знающий Visual Basic, потенциально может отправить по E-mail инфицированное сообщение, которое даже не нужно открывать, для того чтобы хакер получил полный доступ к пользовательской машине", - сказал Frank Prince, аналитик из Forrester Research.
Согласно отчету SANS, вышеописанная проблема была обнаружена специалистами исследовательской лаборатории SANS еще 27 июня, но компания Microsoft обратилась с просьбой к SANS - не заявлять об этом во всеуслышание, пока досадная ошибка не будет устранена и будет готова соответствующая "заплата". К 14 июля Microsoft устранила все недочеты, и теперь все инструкции для пользователей и "заплаты" от Microsoft доступны на сайте SANS. По материалам "Лаборатории Касперского".
