Stfw.RuВ предверительном уведомлении, опубликованном в пятницу, Microsoft признала, что ошибка в обработчике протокола Windows MHTML (MIME HTML) может быть использована хакерами для выполнения вредоносных сценариев в (IE).
"По сути, это XSS-уязвимость" - говорит Эндрю Стормс (Andrew Storms), директор по безопасности в nCircle Security. Баги в XSS могут быть использованы для вставки вредоносного сценария в веб-страницу и взять сессию под свой контроль. "Злоумышленник может стать пользователем и действовать на конкретном сайте от его имени" - объяснил Стормс. "Если вы зайдете, скажем, на Gmail.com или Hotmail.com, злоумышленник сможет отправлять сообщения по электронной почте вместо вас".
"Такой скрипт может собирать информацию о пользователях, например, электронную почту, подменять контент, отображаемый в браузере, или иным образом вмешиваться в работу пользователей" - написала Анжела Ганн (Angela Gunn)
