Корпорация Microsoft объявила об обнаружении уязвимости в модуле ActiveX, отвечающем за обработку цифровых сертификатов безопасности. Эти сертификаты широко применяются в Windows при использовании электронной подписи, для шифрования электронной почты, доступа к сайтам по протоколу безопасной передачи данных SSL, при идентификации пользователей с помощью смарт-карт, а также для работы с зашифрованной файловой системой в ОС Windows 2000 и XP.
Используя уязвимость в модуле Certificate Enrollment Control, злоумышленник может удалить все цифровые сертификаты с компьютера жертвы, лишив пользователя возможности работы с описанными выше функциями. Для совершения атаки необходимо заставить пользователя открыть специальным образом построенную HTML-страницу, которая может быть размещена на Web-сайте или прислана по электронной почте. Опасность новой дыры для клиентских систем в Microsoft оценили как критическую.
Для борьбы с уязвимостью Microsoft настоятельно рекомендует установить соответствующую заплатку. А до ее установки следует отключить Certificate Enrollment Control для сайтов, входящих в группу "ограниченных узлов" (restricted sites). Перечень этих узлов и настройки безопасности при работе с ними можно задать на вкладке "Безопасность" диалога "Свойства обозревателя" браузера Internet Explorer. Аналогичным образом следует изменить настройки работы с HTML программ Outlook и Outlook Express.
По сообщению Microsoft, уязвимость была обнаружена ее собственными специалистами, причем уязвимыми являются все поддерживаемые компанией версии Windows: Windows 98, Windows 98 SE, Windows Millennium, Windows NT 4.0, Windows 2000 и Windows XP, включая 64-разрядную версию последней. О наличии уязвимости в более ранних версиях Windows ничего не известно, поскольку Microsoft уже не занимается их поддержкой, пишет "Компьюлента".
