В понедельник 2 февраля корпорация Microsoft объявила о выпуске очередного патча, ликвидирующего несколько опасных дыр в браузере Internet Explorer. Как сообщалось в бюллетене безопасности MS04-004, одна из устраненных ошибок позволяла злоумышленнику отобразить в адресной или статусной строке браузера поддельный URL, не соответствующий реальному.

Данная уязвимость, напомним, была обнаружена еще в декабре прошлого года. Причем дырой очень легко воспользоваться: для этого нужно лишь составить URL, содержащий имя пользователя, отделенное символом @ от адреса какого-либо сайта. В качестве имени можно ввести адрес другой веб-страницы. В результате, после нажатия на такую ссылку пользователь окажется на ресурсе, адрес которого записан после значка @, тогда как браузер отобразит последовательность символов, забитую в первой части URL. Это дает злоумышленникам возможность заманивать ничего не подозревающих владельцев компьютеров на поддельные сайты и под различными предлогами получать у них персональную информацию - номера кредитных карт, банковских счетов и пр.

Заплатки от Microsoft пришлось ждать больше полутора месяцев, однако после ее установки многие пользователи столкнулись с другой проблемой. Патч, наряду с дырой, устраняет и функцию индивидуального доступа к сайту, когда имя и пароль записываются в первой части URL и отделяются от названия страницы символом @. В результате, многие компании, применяющие данную возможность, оказались в весьма затруднительном положении. В частности, основатель развлекательного ресурса Toteme сообщил, что после установки обновления его клиенты просто-напросто не смогли получить доступ к сайту. А в развлекательном бизнесе, где конкуренция особенно сильна, потеря даже одного процента заказчиков может нанести непоправимый ущерб. Со слов сотрудников Toteme, за несколько дней систему аутентификации можно модифицировать, однако недополученную за это время прибыль уже не вернуть. Аналогичные трудности возникли и перед другими интернет-компаниями, вынужденными подстраиваться под софтверного гиганта.

Что касается представителей Microsoft, то они лишь отметили, что применение URL для ввода паролей может приводить к утере конфиденциальных данных. "Пользователи хотели безопасности, и теперь они ее получили", - отметил Стивен Тулуз, один из менеджеров Microsoft.