Компьютеры » Безопасность » Микрософт - доказанная угроза национальной безопасности ч.1
Микрософт - доказанная угроза национальной безопасности ч.1
Главная
Мы живем в век объединенных информационных ресурсов. К сожалению, практически во всех наших основных правительственных и коммерческих организациях, критическими системами и сетями управляют продукты и операционные системы фирмы Microsoft. И я продолжаю поражаться, почему мы, бывалые компьютерные профессионалы, продолжаем маршировать как лемминги по направлению к одной единственной информационной рабочей среде, которая вновь и вновь доказывает, что является нестабильной, незащищенной и очень благоприятной для ее злонамеренного использования. Продолжение следования по компьютерному пути, выложенному перед нами Редмондом и Великим Гейтсом, непременно и в значительной степени увеличит число нарушений компьютерной безопасности, производимых против Microsoft-ориентированных программных продуктов, таких как Windows, Outlook, Office и Internet Explorer.
Демонстрируемый Microsoft ответ на множество нарушений безопасности гласит: "пока это не прогремит по CNN, оно не имеет для нас важности". Очень часто Microsoft занижает известные изъяны в безопасности, заявляя, что это относится только к части установленных у пользователей программных продуктов, или используя "избирательные формулировки" в своих бюллетенях по безопасности. Иногда это просто типичное поведение корпоративного титана - никому не нравится слушать, а уж тем более признавать , что у них есть недостатки. Это плохо. Если бы Boeing в ответ на сообщения об обнаруженных дефектах в конструкциях своих самолетов ждал, пока самолеты начнут падать с неба, прежде чем рассмотреть и подтвердить либо опровергнуть жалобы, как бы вы отнеслись к этой компании? В 1999 г. было 61 предупреждение по безопасности по продукции Microsoft; только за половину 2000г. было уже 31 предупреждение. Это можно рассматривать как подтверждение того, что качество продуктов Microsoft за все эти годы не претерпело ощутимых улучшений.
Интересно также отметить, что большинство изъянов в безопасности, найденных в продуктах Microsoft, были обнаружены не фирмой Microsoft, а третьими сторонами - L0PHT, @Stake, другими официальными группами и независимыми исследователями или, возможно, самым популярным (или "печально известным", по мнению Microsoft) программистом, ищущим слабые места в безопасности Internet Explorer, болгарином Георгием Гунским. Никому это не кажется проблемой? И сколько еще других изъянов в безопасности, о которых корпорация Microsoft была извещена, было оставлено продавцом в секрете, по каким бы то ни было причинам?
Первое публичное заявление, поднявшее вопрос о программном обеспечении Microsoft, как касающийся национальной безопасности, было сделано Полом Стрессменом (Paul Strassman), из Университета Национальной Обороны (National Defense University) в Вашингтоне (округ Колумбия), написавшем в статье в журнале Computerworld за ноябрь 1998 года, что:
Господство Microsoft в области операционных систем представляет собой новую угрозу национальной безопасности нашего базированного на информации общества. Правительство отчаянно пытается сдержать растущую мощь Microsoft при помощи антимонопольного преследования, которое доказало бы существующий ущерб для потребителей. Этого недостаточно. Правительство должно так же рассматривать риск от информационных атак на в значительной степени однородную среду управления системами. Информационные террористы и преступники неизбежно воспользуются дефектами в гигантских операционных системах Microsoft, которые находятся на пути к тому, чтобы стать средствами управления для большей части нашей информационной инфраструктуры ...
Всеохватывающая операционная система открывает себя для враждебного использования вследствие потрясающих изъянов в безопасности. Присутствие фатального дефекта неизбежно, так как сложность систем Microsoft возрастает в беспорядочных пропорциях с каждой новой версией. Поиск такой ошибки как раз и занимает умы некоторых из ярчайших компьютерных экспертов. Нахождение "дыры", посредством которой можно посеять хаос при помощи всего лишь нескольких нажатий клавиш, может стоить огромных денег, особенно при пособничестве террористическому акту...
Ни один эксперт по сельскому хозяйству не предложит, чтобы только одна сельхозкультура с использованием идентичных семенных штаммов выращивалась в Канзасе, Огайо, Иллинойсе и Айове. "Монокультуры", как их называют биологи, слишком уж уязвимы для вредителей, болезней и непредвиденного сочетания экологических условий. Ирландская "картофельная катастрофа", например, была вызвана доверием к единственному штамму картофеля.
Таким образом, цель данной статьи - развить дальше тезис Стрессмена о Microsoft как об угрозе национальной безопасности и показать, что продолжающееся использование программного обеспечения Microsoft вкупе с известной деловой практикой Microsoft и продемонстрированным игнорированием фундаментальных соображений безопасности в их продуктах, составляют прямую и явную угрозу безопасности Соединённых Штатов. В поддержку этого заявления есть две ключевые проблемы, связанные с программным обеспечением Microsoft.
Первое обсуждение покажет, насколько легко можно использовать недостатки программного обеспечения Microsoft, чтобы парализовать большие корпоративные и государственные организации. Во-вторых, я продемонстрирую, насколько Microsoft боится любого детального и честного публичного анализа их программных продуктов и как использует недавно принятые законы, такие как UCITA и DMCA, которые разработаны, чтобы предотвратить объективные проверки качества программного обеспечения и освободить производителей программного обеспечения от ответственности за выпуск низкопробных программных продуктов. - то, чего корпорация Microsoft добивалась с самого первого дня своего существования.
MICROSOFT И БЕЗОПАСНОСТЬ - ВЗАИМОИСКЛЮЧАЮЩИЕ ПОНЯТИЯ
В этой части будут обсуждаться изъяны в безопасности, связанные с программами производства Microsoft. Двумя ключевыми проблемами в Операционном Окружении Microsoft (MOE) являются врожденные изъяны в безопасности в языке cценариев Visual Basic (.VBS) и в ActiveX (или "craptive-X" в кругах противников Microsoft). Само по себе присутствие в Офисном пакете общего языка сценариев очень полезно (корректно выполненные, они ощутимо экономят время), но, с другой стороны, - это кибернетическое самоубийство давать ему возможности, которые могут быть с такой легкостью злонамеренно использованы любым врагом или, непреднамеренно, сотрудником самой организации. Возьмём ActiveX, в отличие от языка Java фирмы Sun, Microsoft ActiveX может делать с системой Windows что угодно! Что угодно! Со сценариями Visual Basic всё почти так же плохо... Почему настолько необходимо иметь возможность использовать функцию .VBS, чтобы послать электронное письмо каждому из адресной книги Outlook?
(Да, "MOE" - это "три веселых буквы", которые, после множества перенесённых проблем с безопасностью, вызванных программами Microsoft, заставляют меня удивляться, почему я до сих пор не бегаю кругами, колотя себя по лицу и выкрикивая что-то нечленораздельное!) В найденной в Базе Знаний Microsoft (Microsoft Knowledge Base) страницы под названием "Основная информация об использовании VBScript в Outlook" говорится: VBScript разработан, чтобы быть безопасной средой программирования. В нем отсутствуют различные команды, которые могли бы быть потенциально разрушительными, в случае их злонамеренного использования. Эта повышенная безопасность является критической в корпоративных решениях.
Имейте это ввиду, когда мы будем рассматривать связь .VBS с изъянами в безопасности, такими как ILOVEYOU. Корпорация Microsoft объявила о своей обеспокоенности появлением ILOVEYOU в сообщении, датированном 8 мая 2000 г. под названием "Специальный выпуск - Служба Новостей по пакету Office - Вирусное Предупреждение": На прошлой неделе по электронной почте стал распространяться новый вирус, имеющий возможность затронуть широкий круг пользователей электронной почты, включая пользователей, работающих с Microsoft Outlook. При активации вирус может записываться поверх . -->, .mp3 и других типов файлов, а так же произвести попытку переслать свою копию всем из адресной книги пострадавшего.
Никогда не упускающий возможности поймать Редмонд на слове, сетевой журналист Фил Агрэ (Phil Agre) (ведущий дискуссионного списка "Red Rock Eater" по адресу http://dlis.gseis.ucla.edu/people/pagre/rre.html) отмечает: Здесь стиль текста направлен на разрушение любых мысленных ассоциаций между вирусной уязвимостью и Outlook. Нам говорят про вирус, "который имеет возможность затронуть широкий круг пользователей электронной почты, включая пользователей, работающих с Microsoft Outlook". У спешащего читателя создастся впечатление, что проблема не является специфичной для Outlook. Но секундное размышление посеет сомнения. Во-первых, вирус будет работать только на машинах, которые могут выполнять сценарии Visual Basic. Это сразу сужает круг до небольшого набора платформ Microsoft. Кто-то может спросить, а исполняют ли другие почтовые программы Microsoft присоединенные к письмам сценарии Visual Basic? Но это не то, о чем сказано в отрывке. Там сказано только, что у вируса есть "возможность затронуть широкий круг пользователей электронной почты". Кто-нибудь, использующий почтовый клиент Windows 98, отличный от Outlook, может по какой-либо причине сохранить присоединенный файл VBS и, затем, специально запустить его с рабочего стола. Это может "затронуть" машину пользователя (поврежденные файлы, модифицированная автозагрузка, измененная "домашняя страничка" в Explorer), но это действие не сможет распространить вирус, потому что механизм размножения вируса основывается на адресной книге Outlook. Это конкретное заявление выглядит корректным, но вы должны прочесть его внимательно. Во всяком случае, выделенные мной отрывки довольно уклончивы.
Заявлениями и документацией Microsoft навязывается вывод, есть довольно много вирусов, которые могут затронуть пользователей Outlook, но нет никакого изъяна в безопасности, связанного с этой программой, и пользователи не должны рассматривать Outlook или Сценарии Visual Basic как небезопасные. Не означает ли это, что постоянно увеличивающееся количество вирусов, написанных школьниками и парализующими весь мир за три дня, прямо используя возможности Outlook, не является главной заботой продавца программного обеспечения? Немного гласности лучше, чем отсутствие гласности вообще, скажет кто-то... во всяком случае, в суд не подашь!
В любом случае, благодаря антивирусному ресурсу F-Secure (http://www.datafellows.com/), я смог провести небольшое исследование, чтобы составить список почтовых вирусов кроме ILOVEYOU, которые распространились по Интернет примерно за последние восемнадцать месяцев в результате изъянов в безопасности в Microsoft Outlook. Ниже приведено несколько описаний вирусов, использующих Microsoft Outlook, для распространения своих копий по всему миру. При чтении этих описаний обратите внимание на общие особенности - все они используют сценарии Visual Basic для распространения по предприятию и по сети, многие из этих почтовых сценариев модифицируют системные файлы, такие как WIN.INI, и реестр Windows, и они работают только под Microsoft Outlook. Я взял на себя смелость урезать длинные описания, которые дает F-Secure, чтобы показать суть вопроса. ВНИМАНИЕ: Если вы не специалист, можете пропустить эту секцию, так как в нескольких следующих параграфах будет присутствовать технический жаргон:
IROK. Получив управление, червь копирует себя в папки C:WindowsSystem и C:Mirc под именем IROK.EXE и записывает WINRDE.DLL в папку WindowsSystem. Этот файл является не динамической библиотекой (DLL) Windows, а файлом данных. Червь так же заменяет файл SCRIPT.INI в папке C:Mirc своим собственным сценарием, который рассылает IROK.EXE всем на канале IRC, к которому присоединяется объект заражения. Наконец, червь записывает файл сценария Visual Basic IROKRUN.VBS в директорию автозапуска Windows. Этот сценарий будет выполнен при следующем запуске системы. Когда сценарий IROKRUN.VBS запускается во время следующей загрузки Windows, он использует Microsoft Outlook для рассылки тела червя под именем IROK.EXE 60 получателям, адреса которых берутся из адресной книги Outlook.
Melissa. Активируется при открытии зараженного файла. В этот момент он проверяет. не инфицирован ли уже главный шаблон и, если нет, он копирует туда себя, модифицируя в ходе процесса свой код. После того как вирус инфицировал главный шаблон, он заражает все документы в момент их закрытия. Так же блокируется меню "Tools/Macros/Visual Basic Editor" (Инструменты/Макрос/Редактор Visual Basic). Этот вариант содержит блок массовой рассылки, заимствованный из W97M/Melissa и деструктивный механизм, который активируется 25 декабря. В этом случае вирус в первую очередь записывает в "C:Autoexec.bat" код, который отформатирует диск "C:" сразу же после рестарта системы. Вирус производит массовую рассылку своих копий первым 50 получателям, занесенным в адресную книгу Outlook. Почтовое сообщение также содержит копию зараженного активного документа. Вирус также изменяет реестр Windows, чтобы отметить, что массовая рассылка уже произведена. Один раз, разослав по почте свои копии, вирус размножается при открытии и закрытии документов.
ExploreZip. Это сходный с Melissa почтовый червь. Но, в отличие от Melissa, червь Zipped_Files использует другой механизм. Способ самораспространения через электронную почту также отличен. Вирус анализирует принятые Microsoft Outlook сообщения и автоматически посылает ответы их отправителям. Он также модифицирует WIN.INI, чтобы один из этих файлов запускался при каждом старте Windows. Если червь заразил одну машину в корпоративной сети, он начинает искать в сети другие рабочие станции Windows. Если на машине другого пользователя есть разделяемые (shared) директории для других пользователей, червь попытается заразить эту машину через сеть. Это значит, что ваш компьютер может быть поражен вирусом Zipped_Files, даже если вы очень осторожны с вашей электронной почтой, не открываете прикрепленные файлы или даже совсем перестали пользоваться электронной почтой. Вы не заметите заражения, а ваша машина после этого начнет автоматически отвечать на все полученные электронные письма. Ответы содержат зараженное вложение и распространят вирус дальше. Вдобавок, червь начнет перезаписывать файлы на локальных и сетевых дисках.
VBS/Bubbleboy. Это - самый первый вирус, способный распространяться по электронной почте без необходимости открытия вложения. Он выполняется сразу же, после того как пользователь открыл сообщение в Outlook. В Outlook Express даже просмотр сообщения в "Preview Panel" ("Панель предварительного просмотра") вызывает его выполнение. Получатель электронного письма заражается и распространяет червя, не "щелкая" ни по одному прикрепленному файлу. Сообщение даже не содержит ни одного вложения. Затем вирус использует возможности ActiveX, чтобы получить доступ к системному реестру. Он изменяет имя зарегистрированного владельца Windows на "BubbleBoy", а название организации на "Vandelay Industries". После этого червь использует возможности ActiveX, чтобы открыть Outlook и использовать его для рассылки своих копий всем получателям из всех адресных книг, как это делает Melissa. Массовая рассылка производится единожды для каждой зараженной машины. BubbleBoy использует известный изъян в безопасности Microsoft Outlook, чтобы создать локальный файл HTA. Если в Outlook отключено выполнение активных сценариев, червь не будет работать.
VBS/Freelink. Это - почтовый червь, написанный на языке VBScript. Программы на VBScript функционируют только под управлением Windows 98 и Windows 2000 (если только отдельно не была установлена Система Поддержки Сценариев Windows [Windows Scripting Host]). При получении червем управления он записывает зашифрованный файл сценария в "C:WindowsSystemRundll.vbs". После этого VBS/Freelink изменяет реестр, чтобы "Rundll.vbs" выполнялся после каждого рестарта системы. Если пользователь нажимает кнопку "Yes", червь создает на рабочем столе ссылку Интернет под названием "FREE XXX LINKS". Ссылка указывает на сайт http://www.sublimedirectory.com. Червь так же ищет именованные разделяемые сетевые ресурсы. Если червь их находит, он копируется в корневой каталог каждого разделяемого ресурса. Червь использует приложение Outlook, чтобы разослать свои копии всем получателям из всех адресных книг. Блок массовой рассылки сходен с W97M/Melissa, но он не заражает документы Word и рассылает свои копии при каждом своем запуске.
VBS/Monopoly. Это - червь, использующий Microsoft Outlook для массовой рассылки своих копий. Он был создан с использованием Сценариев Visual Basic и работает под управлением Системы Поддержки Сценариев Windows (WSH) версии 5.0 и выше. Когда сценарий получает управление, он, в первую очередь, создает три файла во временном каталоге Windows: "monopoly. -->", "monopoly.whs" и "monopoly.vbe". После того как файлы были созданы, червь выводит окно с сообщением, говорящим, что Билл Гейтс играет в монополию, и показывает игровую доску игры Монополия.
X97M/Papa. Это - червь, использующий макросы Excel 97. Он довольно похож на широко распространенный вирус W97M/Melissa, но, скорее всего, написан другим автором. При каждом открытии зараженного Papa файла XLS, он отсылает свою копию по электронной почте, используя Microsoft Outlook, первым 60 людям из адресной книги.
При качественно разработанной архитектуре безопасности программного обеспечения единственной областью диска или областью данных компьютера, к которой разрешен доступ офисной программе (такой как Outlook или Word), должна быть файловая система для создания и сохранения офисных файлов, созданных пользователями. В реальности же, НЕОБХОДИМО поинтересоваться, почему приложение "по автоматизации документооборота" обладает возможностью перезаписывать и модифицировать системные файлы, влияющие на весь компьютер или сеть? Какова может быть законная, полезная причина, чтобы иметь доступ - при помощи сценариев внутри текстового редактора - к основополагающим системным ресурсам и системным файлам, как это было показано выше?
Как давно существуют эти проблемы и сколько еще раз это должно произойти, пока кто-нибудь не попытается исправить эту проблему? После $5-миллионной цены Melissa и ILOVEYOU, оцениваемого в $8 миллиардов убытков по всему миру, чему еще нужно будет случиться, чтобы корпорация Microsoft предприняла хоть какие-то действия по предотвращению появления базированных на Outlook вирусов, многие из которых написаны и выпущены детьми, школьниками или студентами, не закончившими колледж? Пока не будут произведены фундаментальные изменения в программе Outlook и Операционном Окружении Microsoft (MOE), Интернет-сообщество, корпорации и правительственные организации Америки будут продолжать наблюдать события такого рода, с использованием недокументированных "возможностей" программного окружения Microsoft, вроде тех, которые нам в последние годы продемонстрировали ILOVEYOU и Melissa. Сеть была свидетелем появления слишком многих почтовых вирусов, использующих известные изъяны и слабости в различных приложениях Microsoft Office, особенно Outlook. Когда же Microsoft, наконец, выпускает "заплаты", чтобы убрать многие изъяны такого типа, часто после того как пользовательское сообщество довольно долго призывало к таким действиям, то это не является идеальным решением. Человеческой аналогией такого подхода является доктор, постоянно прописывающий "Тайленол" при периодических головных болях пациента (чтобы убрать симптомы), но никогда не пытающийся устранить истинную причину болей (хронические мигрени).
Устранить истинную причину этой проблемы означает переписать некоторые части языка сценариев Visual Basic и принять ряд других мер, чтобы удостовериться, что такие сценарии "привязаны" (т.е. не способны модифицировать системные файлы и т.п.) и, таким образом, предохранены от злоупотребления со стороны противника. Выделит ли корпорация разработчиков, чтобы это исправить? Или продолжит игнорировать свои обязанности по отношению к Интернет-сообществу в целом? Недавно давая интервью о фиаско с ILOVEYOU, Скотт Калп (Scott Culp), Управляющий программой Центра Безопасности Microsoft (Microsoft Security Center), заявил агентству Рейтерс (Reuters), что "в данном случае автор вируса выбрал мишенью Outlook, скорее всего из-за того, что он дал ему больше возможностей. Здесь вообще нет никакой связи с уязвимостями в Outlook". Гаявата Брэй (Hiawatha Bray) из Бостон Глоуб (Boston Globe) очень хорошо отметила в своей недавней заметке: В моей беседе с представителем Microsoft Адамом Соном (Adam Sohn) на прошлой неделе, он описал свою идею о том, каким образом компании могут улучшить безопасность Outlook. "Они должны начать с порки своих служащих", заявил Сон. Он посмеивался, подтверждая, что шутит, но только относительно телесных наказаний. Сон был более чем серьезен относительно абсолютного отсутствия вины Microsoft в фиаско с "Love Bug". Напротив, он посчитал виновными глупых компьютерных пользователей, начавших открывать присоединенные к электронным письмам файлы. "Люди не должны их открывать", сказал Сон. "Вот в чем проблема." ( http://www.digitalmass.com/columns/software/0508.html)
Как бы не так. Вопреки мнению Microsoft, что "проблема - это пользователи", реальная проблема заключается во внутреннем устройстве Outlook, направленном на его интеграцию в окружение Windows, и в скрытых возможностях Visual Basic, при помощи которых можно использовать это приложение со злым умыслом. В завершение дискуссии об Outlook я задам риторический вопрос. На той же неделе, когда ILOVEYOU заполнил заголовки новостей, Эсошиэйтэд Пресс (Associated Press) объявило, что в Министерстве Обороны (Department of Defense - DoD) от ILOVEYOU пострадало несколько "закрытых" сетей. Это означает, что DoD использует продукты Microsoft внутри своих "закрытых" сетей - не очень-то светлая идея, принимая во внимание существующий уровень безопасности продуктов Microsoft, и приводит к мысли, что хваленые "секретные" сети DoD, вроде SIPRNET, не настолько изолированы, как это пытаются представить, а так же говорит о том, что DoD нарушает свои же собственные правила сетевой безопасности.
Нижняя строка здесь говорит о том, что правительство Соединенных Штатов, а не только военные, и основные корпорации используют программное обеспечение Microsoft как стандарт. Продемонстрированные этой компанией-производителем ПО незащищенность, нестабильность и простота злонамеренного использования ее продуктов продолжают быть слагаемыми угрозы национальной безопасности при использовании программного обеспечения Microsoft в критических инфраструктурах. Слава Богу, на этой неделе Соединенные Штаты не участвовали ни в какой войне, но если бы участвовали, ILOVEYOU (или один из его существующих или будущих вариантов) мог бы значительно снизить возможности Пентагона по пересылке электронных сообщений для руководства операциями, как в открытых, так и в закрытых сетях. Страшно!
Но, чтобы читатели не подумали, что Outlook - единственный трудный программный ребенок в арсенале Microsoft, давайте рассмотрим части общего для всех продуктов Microsoft Office языка сценариев. 12 мая 2000г. L0PHT (http://www.l0pht.com/), бывший ученик Dildog (сейчас работающего на консалтинговую фирму по вопросам безопасности @STAKE) опубликовал "сборник советов", содержащий следующие отрывки:
Microsoft Office 2000 поставляется с элементом управления ActiveX под названием "Microsoft Office UA Control". Он устанавливается по умолчанию и охарактеризован со стороны Microsoft как "безопасный для написания сценариев". Этот элемент недокументирован и его интерфейс, по видимому, был использован для написания демонстрационных роликов для системы помощи Office 2000 и обеспечения работы "помощника" (Office Assistant).
Анализ интерфейса элемента управления открывает его способность управлять практически любым действием в Office 2000, которое пользователь может произвести при помощи клавиатуры, включая, но не ограничиваясь только этим, снижение уровня безопасности макросов до самого низкого. Это действие может быть выполнено с любой страницы HTML, просматриваемой с включенной поддержкой активных сценариев, включая, как Internet Explorer, так и электронное письмо в Outlook в их конфигурации, установленной по умолчанию... .
...Элемент управления Microsoft Office UA предоставляет мощный интерфейс для автоматизации команд в рабочем окружении Office 2000. Проблема заключается в том, что этот элемент управления не должен квалифицироваться как безопасный для написания сценариев. Возможности этого элемента управления таковы, что его использование через удаленные страницы HTML и электронные письма делает его чрезвычайно опасным...
...Сам факт того, что этот элемент управления существует в данном конкретном виде, может позволить создание червя с не имеющими себе равных разрушительными способностями, так он будет способен отключать защиту от макро-вирусов и "создавать сценарии" своего проникновения ко всем людям в вашей адресной книге.
...Наихудший сценарий использования этой уязвимости с легкостью может включать в себя дополнительный вредоносный код для выполнения таких действий как модификация файлов, распространение червей и вирусов или обеспечения внешнего доступа ко внутренним сетевым ресурсам.
Ранее в 2000, Dildog публикует другой "сборник советов", на этот раз информирующий Интернет-сообщество о том, что злоумышленник может захватить контроль над машиной с Windows 95, 98, NT или 2000 при помощи любого ресурса HTML, включая электронное письмо Microsoft Outlook. Он отмечает:
Галерея Эскизов (ClipArt Gallery - CAG.EXE), которая идет вместе с Microsoft Office 2000, обрабатывает файлы ".CIL" для установки эскизов из Интернет. Формат CIL обрабатывается программой CAG.EXE некорректно и одно из внутренних полей в файле обладает возможностью для переполнения буфера, позволяя злоумышленнику выполнить произвольный программный код. Злоумышленник может поместить злонамеренно модифицированный файл CIL на сайт Интернет или в электронное письмо, вынуждая жертву атаки импортировать файл CIL. Файл будет открыт без запроса к пользователю, так как формат CIL не требует подтверждения на его открытие после копирования с удаленного ресурса. Этот случай НЕ требует использования изъянов в безопасности в активных сценариях и НЕ регулируется зонами безопасности Internet Explorer.
К сожалению, существующая "заплата" для этого случая является лишь "средством первой помощи" от проблемы того, что Internet Explorer сейчас используется для всего, что только можно, и что в ряде случаев его подсистема обработки формата HTML позволяет файлам произвольных форматов быть скопированными и обработанными без подтверждения их безопасности. Можно ожидать похожих случаев и в будущем.
Когда вы начнете смеяться над тем, насколько ненормальным должен быть "плохой парень", чтобы быть способным захватить ваш компьютер при помощи картинки с эскизом, задумайтесь, откуда все это взялось. Встраивание Internet Explorer в операционную систему Windows и офисные продукты в попытке привязать пользователей к продуктам Microsoft создало большой потенциал для продолжающих появляться брешей в безопасности вследствие взаимосвязанной природы нескольких незащищенных и слабо написанных приложений, что больше ориентировано на пользу бизнес-модели Microsoft, чем покупателей.
Не концентрируясь только на приложениях Microsoft Office, нижеприведенный график (статистика собрана ATTRITION.ORG) показывает фантастическое увеличение веб-серверов, базированных на Microsoft Windows, которые были "взломаны" или каким-либо другим образом скомпрометированы по сравнению с другими серверами, работающими под управлением конкурирующих операционных систем в период с августа 1999 по май 2000гг.: