Исследователь безопасности данных
0,0
рейтинг
18 сентября 2012 в 09:10

Разработка → Уязвимость нулевого дня в Internet Explorer перевод

Взломщики обнаружили и используют новую уязвимость в Internet Explorer, специалисты по компьютерной безопасности рекомендуют прекратить использование IE до тех пор, пока Microsoft не выпустит исправление.

Как пишет в своём блоге Эрик Романг (Eric Romang), консультант по безопасности в IT из Люксембургской ZATAZ.com, вредоносный код был обнаружен на одном из заражённых серверов, принадлежащих группе лиц, стоящей за недавними атаками на Java (речь идёт об этих атакахприм. пер.). Группа Metasploit, работавшая над изучением этой уязвимости вместе с Эриком Романгом, уже опубликовала эксплоит.

Компьютер жертвы оказывается скомпрометирован при простом посещении заражённого сайта, что даёт злоумышленнику те же права на компьютере жертвы, что и у текущего пользователя, как пишет sinn3r, разработчик эксплоита из группы Metasploit. Уязвимость обнаружена в браузерах Internet Explorer версий 7, 8 и 9 на всех поддерживаемых браузерами версиях ОС Windows.

Менеджер по разрабоктам группы Metasploit Тод Бердсли (Tod Beardsley) считает, что эта уязвимость была известна злоумышленникам на протяжении достаточно продолжительного времени, чтобы говорить о большом количестве потенциальных жертв — называется цифра в 41% северо-американских пользователей интеренета.

Т.к. Microsoft пока не опубликовала исправление, пользователям IE настоятельно рекомендуется временно перейти на другие браузеры. Security Watch (где данная новость и была опубликована — прим. пер.) связалась с Microsoft по этому поводу и обещает опубликовать их ответ.

На данный момент, по сообщению исследователя из Лаборатории AlienVault Джейми Бласко (Jamie Blasco), эксплойты, встречающиеся в интернете нацелены только на IE версий 7 и 8, и только на Windows XP.
Перевод: Fahmida Y. Rashid
Василий @bazzilic
карма
–2,0
рейтинг 0,0
Исследователь безопасности данных
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (140)

  • +49
    Решето
    • +13
      Кто-то должен выложить это фото, пусть им буду я:
      image
      • +20
        Это скорее Дуршлаг. Решето (или сито) вот такое:

        • +12
          Знаю, он и есть. По мне так дуршлаг больше подходит, дыры крупнее.
          • +7
            Здесь важен не только размер дырок, но и их количество. Прохудившееся сито было бы самое то.
    • +2
      Окно!
  • +1
    Какое-то массовое нападение на ХР. Сначала Adobe, теперь это (:
    • +37
      Ну, я лично считаю, что пора уже завязывать сидеть на XP тем, кто еще не. Уже в самом деле пора. :)
      • +5
        У нас вот в офисе компы с 2000 на xp до сих пор не перевели :)
        • +17
          И все сидят под учетками администратора в офисе?
          • +1
            Наоборот, прав даже разработчикам не дают… Вплоть до абсурда — чтобы обновить браузер, надо заявку писать.
          • 0
            Вы не поверите :)
        • +8
          Дык, многие современные злавреды не заведутся даже. В библиотеках системных (особенно kernel32.dll) многих вызовов не хватает, которые с XP повсеместно использоваться начали.
          Так что можете спать спокойней, чем пользователи XP
          • +5
            Упс… забыл тег
        • +1
          Прошу прощения за двусмысленность комментария. Сейчас стараются доперевести старые машины на xp, большинство не связанных с IT сотрудников все еще на 2000 сидят. На новые машины сразу xp ставят. В прочем, до 7, и тем более 8, еще далеко…
      • 0
        Кто же спорит, я только за!

        Помню был какой-то баг на сайте, воспроизводился только в ie6 win XP SP3. Так что я всеми руками за!
      • +4
        bazzilic
        Ну, я лично считаю, что пора уже завязывать сидеть на XP тем, кто еще не. Уже в самом деле пора. :)


        в новости же написано:
        Уязвимость обнаружена в браузерах Internet Explorer версий 7, 8 и 9 на всех поддерживаемых браузерами версиях ОС Windows.


        Наличие эксплоита под XP на данный момент обусловлено простотой его создания. Т.к. в Windows Vista/7 необходимо обойти используемую IE «песочницу» (часть UAC) чтоб код мог делать что-то поистине зловредное. Т.к. по умолчанию IE имеет low integrity level. Сделать это возможно, но это лишний геммор. Посему под прицелом сейчас именно XP. Хотя могут найтись желающие переработать его под Windows Vista/7
        • +2
          Я в курсе, я её и написал :)Я считаю, что с XP надо обновляться независимо от этого :)
        • 0
          Не факт. Protected Mode IE обходится например из Intranet/Trusted зоны по умолчанию (он там просто отключен). У многих корп. клиентов он отрублен вообще, в принципе для всех зон.
      • +1
        У меня как стояла второй осью «для старкрафта», так и будет ею стоять :)
        • 0
          Win7 64bit. Есть проблема с инверсией цветов, не более.
          Или я не понял сарказма? :)
          • 0
            Основной системой GNU/Linux или OS X, второй — XP, для старкрафта, где там сарказм?

            Кстати, помню в Win7 у меня были ещё проблемы с периодическими вылетами, судя по форумам, не у меня одного, и решения толкового не было — кто-то даже советовал перед запуском держать запущенным это окно, вызываемое по Alt+Ctrl+Del (забыл как называется, где процессы), и кому-то это даже как-будто помогало.
          • 0
            Я имел в виду, что какой смысл мне менять вторую систему для игр — с XP на Win7, если я не видел таких игр, которые идут под семеркой и не идут под XP? А вот наоборот — видел.
      • 0
        Энтерпрайз с большим скрипом переползает. Массовые обновления в крупных фирмах, как правило, невозможны (хотя бы потому, что всегда найдется кто-то, чью работу прерывать нельзя), поэтому процесс затягивается на годы.
        • 0
          кому нужна WinXP (бывает, разрабочики юзают софт для прошивки железа, который только под WinXP идёт и годами не обновляется) могут юзать её на виртуалке без выхода в инет
  • +2
    Вот тут перевод более развернут и информативен, содержит анализ эксплоита и видео реализацию атаки.
  • +19
    Перевод неверен
    Цифра в 41% звучит в смысле «потенциальных жертв», а не тех кто уже заразился
    А то совсем апокалипсис получается
    И атака, кстати, через флеш.
    • –1
      Flash, говорите? У меня в Chrome, Flash тоже очень странно себя ведет. Обычный баннер через некоторое время вешает намертво вкладку. На Хабре они тоже есть, например, так что приятного мало. Пришлось совсем его отключить. Может быть с этим багом связано?
      • 0
        Это связано с совершенно глюкавым флешом встроенным в хром… пейпер-чего-то там…
        если его отключить и включить нрмальный флеш то все ок.
        • 0
          Спасибо, не знал что есть решение! Никогда бы не догадался искать дополнительные кнопки на странице с плагинами, если бы не ваша подсказка. =)
  • +23
    Вот так лучше: пользователям IE настоятельно рекомендуется временно перейти на другие браузеры
    • –3
      Вы забываете про корпоративный сектор.
      • +17
        а там вообще пора отрывать руки за ужасного рода быдлокод…
        • 0
          Не понял.
          Я имел в виду, что в больших компаниях быстро-быстро поменять какое-либо ПО не так-то и просто.
          • +2
            Видимо, имеется ввиду, что внутренние порталы часто затачивают под IE, даже не проверяя, как это не работает на других браузерах. А поставить альтернативный браузер могли бы и сами работники (где это не запрещено).
            • +5
              Некоторые корпоративные системы используют ActiveX, что резко умножает возможность использовать альтернативные браузеры на ноль.
            • +1
              Работаю в большой компании. И смею уверить, что сми работники себе ничего поставить не могут. А, если вдруг каким-то образом и поставят, то могут получить по шаловливым ручкам.
              • 0
                Работаю в другой большой компании, и смею уверить, что сами работники себе поставить могут всё (в разумных пределах, кроме вареза и игрушек).
                • +1
                  Компании бывают разные. В некоторых маразм доходит до крайностей.
                  • +1
                    Иногда это не маразм, а спокойствие сотрудников отделов ИБ и техподдержки.
                    • –2
                      Только если сотрудники не соображают, что стоит ставить, а что нет. В _нормальной_ айти-компании с этим проблем быть не должно, имхо.
                      • +4
                        А где я говорю про IT-компанию? Компьютеры сейчас стоят на столе практически у любого сотрудника любой компании. А вопросы ИБ, в основном, волнуют только сотрудников, обеспечивающих эту самую ИБ. Увы…
                      • 0
                        Даже в ИТ-компаниях далеко не все сотрудники являются специалистами по ИТ.
                        Я даже больше скажу, ИТ специалисты не всегда разбираются в информационной безопасности и пользуются теми программами, которые удобны, привычны или просто нравятся.
                        А ещё есть такая фраза: программист: «головная боль для сисдамина», попробуйте догадаться, откуда это пошло.
                        • 0
                          От того что программисту очень сложно переходить на новую версию любимой IDE, к ней привыкать, смотреть что в ней добавили или наоборот, убрали/поломали…
                          у меня среди знакомых хватает
                    • –1
                      Каждую ситуацию нужно рассматривать отдельно. Но вообще, сотрудникам ИБ стоило бы рассмотреть вариант внедрения маршрутизатора между интернетом и локальной сетью предприятия. И там фильтровать инет для потенциально уязвимых машин. Например, парсим User-Agent и если находим WinXP (Windows 5.1) — фильтруем
                      • 0
                        что там парсить то? нат для избранных (часто в другой подсети/влане), остальные могут ходить только на прокси сервер, где уже идёт веселье в ACL…
                      • 0
                        Для этого есть межсетевые экраны с IPS/IDS, ваш К.О.
                • +1
                  Либо работники не могут ничего устанавливать и перенастраивать либо у них постоянно ломаются компьютеры и работа стоит, по-другому не бывает.
              • 0
                В хорошо настроенной сети админ мог бы сам все поставить удаленно, сразу на все машины.
                • 0
                  Чтоб потом начались волнения внутри фирмы на тему «Большой брат следит за тобой»?
                  • 0
                    90% этих обновлений видно только когда винда просит перегрузиться раз в месяц.
                    ну а офис обновляется на новую версию вручную,
                • 0
                  Сразу на 2-3 тыс. АРМов?
                  Есть еще один момент. Представь, что компания работает на рынке лет так 15-20, а то и поболее. За это время для «внутреннего употребления» написано масса софта, иногда даже критичного для бизнес-процессов, накоплены огромные массивы информации. Переписывать этот софт иногда практически невозможно, т.к. за это время сменился уже не один штат программистов, в свое время дописывающих «костыли», строение и связи баз данных полностью уже никто не помнит, потому-что годами там что-то менялось под сиюминутные нужды и, иногда, без должного документирования, толковые программисты под, например, ADABAS, почти полностью перевелись или работают в таких местах, откуда они уходить уже не хотят.
                  Так что, в подобных случаях лучше оставить всё как есть (работает — ну и славно) и неспеша выстраивать новую бизнес-логику на новых и современных технологиях.
                  • 0
                    Отключить от внешней сети, пускай варятся в собственном соку :)
                    • +1
                      критичные бизнес-системы и так всегда отключены от внешних сетей. или ползут туда через 100500 firewall'ов. ;)
            • 0
              Какие внутренние порталы? Банк-клиенты или другие сторонние, но очень нужные программы иногда работают только под IE (иногда только под IE6). Пользователи по привычке и в интернет через тот же браузер выходят.
              • 0
                выше уже говорили — activex, криптография и т.д…
      • +1
        Корпоративному сектору не лазить из IE по порно ненадежным сайтам.
        • 0
          Это — да. Но, к сожалению, не всякая «секретарша» знает, что тыкать в баннер с рекламой какой-нибудь красивой кофточки не всегда хорошо… ;)
          • 0
            Баннерорезки на прокси никто не отменял. Есть еще варианты проверки траффика на вирусы — тем же clamav — находилось в своё время около половины вредоносов — остальное уже ловилось на уровне антивируса в конечной системе
      • 0
        Вы таки знаете, что корпоративный сектор во вменяемых конторах (даже банках, да) вполне регулярно использует mozilla/chrome/opera, оставив IE только под те сайтыили п/о, на которое потрачено очень много денег и которое переписываться под ie7/8/9/10 врядли будет.
        А так же работу всех пользователей под учётками обычных пользователей и регулярное обновление всех windows систем через сервера обновлений WSUS.
        Ну а дальше — под учёткой обычного пользователя в ХР — Вы сильно много поломаете в системе?
        • 0
          Про Opera не слышал, можете привести пример? Chrome активно захватывает рынок (там корпоративных фичей почти как в IE), а Firefox используют в IBM.
          • +1
            в web-разработке некоторые сознательные программисты тестируют сайты и под оперой в том числе, на удивление, за что им хвала и почёт
    • 0
      Да ну.
      «советуют прекратить использование IE» звучит гораздо веселее.
  • +1
    Ну, собственно, Microsoft уже в курсе. ;)
    Атаке подвержены все IE, начиная с 6-го и заканчивая 9-ым, на всех ОС. 10-ый не затронут.
  • +3
    "...Cпециалисты по компьютерной безопасности рекомендуют прекратить использование IE до тех пор, пока Microsoft не выпустит исправление..."

    <хитрый план>
    Никакого эксплойта на самом деле нет и исправления никакого не будет — это просто хитрый план, чтобы наконец-то одержать победу над Величайшим Злом Современного Web в виде IE (и людей упрямо продолжающих им пользоваться) :3
    </хитрый план>
    • +1
      Или реклама IE10, который выйдет совсем скоро :)
    • –1
      Это могло быть хитрым планом, если всем не было бы пофиг.
  • +1
    что даёт злоумышленнику те же права на компьютере жертвы


    Воистину, не сиди по рутом!
  • 0
    На данный момент, по сообщению исследователя из Лаборатории AlienVault Джейми Бласко (Jamie Blasco), эксплойты, встречающиеся в интернете нацелены только на IE версий 7 и 8, и только на Windows XP.
    Недавно «чинил компьютер» другу — win7, ie9, ложился под винлок для текущего пользователя после посещения какого-то сайта из ie. Случалось дважды, и после перехода на firefox больше не повторялось. Починялся из логина админом, и удалением всех ".exe" из папок пользователя. В registry не отметился, HiJack его тоже не показывал — не знаю по сей день чем и где он зацеплялся.
    • +3
      В метасплоите уже модуль поддерживает IE 9 под семёркой
    • 0
      Только в пятницу знакомая поймала свежий mbr-винлок Win7+Opera(последний использованный перед заражением и с ошибкой вылетал) или Firefox(менее вероятно, но в день заражения им тоже пользовались) при включенном обновленном Авасте. Кроме mbr-а больше нигде не нашел — что пугает еще больше.
      • 0
        По статистике среди моих знакомых- аваст, как бы так сказать, не очень как антивирус, Ну и судя по вирусной проблеме первого месяца на моей прошлой работе с зоопарком антивируса, где после смены всяких авастов,, KIS'ов на корпоративный Ms Essentials первая же быстрая проверка без перезагрузки выводила как минимум с десяток алертов разничной степени на 2/3 машин с авастом (даже обновлённым на последние версии п/о и баз). с KIS полегче, всякие дрвебы — у него хороший только cureit к сожалению :(
        • 0
          Часто приходилось лечить системы от последствий действий самого Аваста :(
          • 0
            KIS тоже этим страдал, особенно модуль фаервола, пока его выключишь, пока снесешь, пока почистишь от него остатки, которые блокируют весь сетевой трафик напрочь после deinstall + reboot…
    • +1
      Не хочу показаться грубым, но ни один антивирус не дает 100% защиты когда действуешь бездумно. Голова должна быть на плечах, а когда её нет то и под linux вирусов да руткитов нахватать можно. Думать надо и это относится не только к работе за ПК…
      • 0
        К сожалению, 90% пользователей не представляют себе реальной угрозы от отсутствующего или не обновляющегося месяцами ативируса и отключенных обновлений операционки «а зачем оно надо — только место жрёт и ребутаться проси, еще активация пиратки слетит..»
  • +3
    Вот если бы про какой-то другой браузер такое написали, то куча сочувствующих отзывов была бы.
    Хватит ругать IE — он же развивается!
    … По крайней мере я на это надеюсь.
    • +1
      В 10-ом эксплоит уже не действует.
      • +1
        Я об этом и говорю.
        А злопыхатели радостно минусуют :)
        Я — за IE
        • +1
          Не сказал бы, что я за IE, но всегда есть за и против:
          За:
          • Прогресс на лицо — от версии к версии он все шустрее. Та же js – анимация кое-где на 9-м IE выполнялась плавнее, чем в Chrome Canary, хотя во Frames все было в пределах 60 FPS. Вот такая загадка :/
          • Эмуляция предыдущих версий IE для тестирования. Весьма недурная консоль в последних версиях с пошаговой отладкой, напомнившей интерфейсом сладкие времена работы в Visual Studio

          Против:
          • Безопасность. Да, Chrome Canary обновляется чуть ли не ежедневно (иди ежедневно?), а IE — от патча к патчу Windows
          • 10ка не радует фактом своего отсутствия в Win7! А жаль, хотелось бы погонять сайты под 10кой, ведь там будет целевая аудитория через полгода
          • –2
            Чуть более чем полностью согласен с Вами.

            Везде есть свои минусы и плюсы. И скорее всего, IE был бы безопаснее, если бы открыли его код.
            И Windows был бы безопаснее, возможно.

            Но тогда они были бы децентрализованнее и не факт, что в них не появилось бы каких-то новых null-day уязвимостей.

            Преимущество других в том, что они могут быстренько склепать заплатку (по сути тот же самый патч) и применить её на следующий день, потому что в этом вся и фишка — не успели найти баг, а он уже убит новым обновлением.

            А Microsoft обновления делают по факту и через какое-то время.
            К тому же, постоянно докучая своими сообщениями о необходимой перезагрузке (это я уже про Windows).

            Но лично я спокойно к этому отношусь, так как в курсе событий.

            Другое дело — неосведомлённые пользователи, для которых все эти уязвимости — дремучий лес, а обновления — лишний раздражающий фактор.

            Так что как обычно — у медали две стороны.
          • +1
            Обновления безопасности для Windows и IE выходят каждый месяц, обычно 14-го числа. Иногда быстрее, в серьёзных случаях. Так что в принципе по безопасности здесь вполне сравнимо с Google Chrome и другими браузерами.

            Можно ругать, что обновления выходят не так быстро, как хотелось бы после обнаружения уязвимости, но так уж случилось, что в Майкрософт всё тщательно проверяют, в том числе так, что не было похожих эксплоитов чуть-чуть переиначенных. Где-то об этом писали, по-моему, даже на хабре было.

            IE10 пока не вышел, но обещают под Windows 7 тоже. Очевидно, сначала хотят доделать под Windows 8, а потом уже под 7. Очевидно, так легче, так как проще один раз адаптировать, чем разрабатывать и поддерживать под две версии сразу, то есть это ускоряет разработку в целом. Хотели бы вы иметь версию под Window 7, которая будет иметь ещё ошибки, которых нет под Windows 8? Я — нет.
          • 0
            Windows 8 как бы ещё не вышла, а IE 10 выйдет для семёрки. Плюс там что-то говорили про автоапдейт.
            • 0
              автоапдейты, в общем работают, еще начиная с windows 2000, не считая несознательных пользователей нелицензионных копий или тех, кто не понимает важность установки обновлений., Но регулярность выхода раз в месяц некоторых не радует.
              • 0
                Там обещали регулярные автоматический переход на новые версии ИК, но это важнее для сайтостроителей.
                • 0
                  что есть ик?
                  • 0
                    Ух, надо идти спать.
                    Читать как: с IE10 на Windows 8 обещали автоматический переход на новые версии IE, возможно и Windows 7 это затронет.
                    • 0
                      Только почему-то до сих пор IE9 на win7 ставится автоматически фоном, а на 2indows 2008r2 — требует нажатия утвердительной кнопочки.
    • 0
      Плохой репутации у IE уже столько, что хватит ещё 5 лет злопыхать, несмотря на то что IE 9 уже можно назвать неплохим браузером.
  • –3
    пользователям IE настоятельно рекомендуется временно перейти на другие браузеры

    А лучше навсегда.
    • –2
      А лучше на линукс, не?
  • +8
    Мне на днях довелось попользоваться какой-то время ИЕ, я просто офигел от того какой тупой, медленный и неудобный. Нахера он вообще нужен такой, еще и дырявый.
    • +2
      Чтобы открыть страничку и сидеть красить ногти
    • 0
      Простите, какой версией и под какой версией OS и на каком железе?
      core i5 4vCPU, 8gb ram, windows 2008r2, обычный hdd.chrome — среднее количество вкладок — около 100 — документация.
      одновременно с этим ie — количество вкладок под 50.
      рабочая машинка администратора, uptime — от патчей, требующих ребута до следующих патчей, требующих ребута — раз в месяц.
      никаких проблем ни с производительностью, ни с временем отзыва ос или п/о.
      дома c2d 2,4, 4ram, 2008r2, ssd — ie, chrome, вкладок до 20 на обоих, плюс вижуал студия 12, тоже никаких тормозов.
  • 0
    Как раз сегодня удалял винлок с ХР, на которой использовался IE8 -_-
  • +2
    Не зря у нас в компании используется Хром по корпоративным стандартам.
    • +5
      Вот это, кстати, очень странно — хром как правило запрещен к установке под страхом расстрела, т.к. отсылает кучу всего гуглу.
      • +4
        А еще за нами следят через интернет провайдеров милые ребята из ФСБ. Разговоры телефонные, кстати, тоже пишут. Возможно вы были не в курсе.
        • 0
          СОРМ в нашей стране ни кто не отменял и не отменит, снифается весь трафик.
          • 0
            Я его и имел ввиду.
            • 0
              Да кому лично вы нужны то — тратить на Вас СОРМ? Там же выборочно трафик собирается и аггрегируется — петабайты данных никому не нужны.
      • +1
        А можно вот прям список всего? И как это воспроизвести у себя? Внятных доказательств никто же вроде не представил.
        • НЛО прилетело и опубликовало эту надпись здесь
          • +1
            Знаю что Wireshark. Доказательств бы.
            Например:
            Файлы из папки «Мои документы». Вот архив с ними уполз в гугл. Вот дамп wireshark, вот извлеченные обратно документы.

            • НЛО прилетело и опубликовало эту надпись здесь
              • 0
                Так выходит тредстартер утрирует. Уже не кучу и не всего. Насчет щемления на странные домены тоже уже писали.
                Единственный серьезный недостаток — отсылка URL вводимых страниц, и то с точки зрения их возможного индексирования.
                Остальные действия понятны — маркетинг. Про щемление на странные урлы тоже уже писали.
            • НЛО прилетело и опубликовало эту надпись здесь
      • +1
        Так может речь идет о хромиуме? Он-то ничего никому не отсылает, в отличие от гугл хрома, если я ничего не перепутал.
      • 0
        Для примера нижеприведенная ссылка на «защищенный» браузер Iron:
        ru.wikipedia.org/wiki/SRWare_Iron

        -" Для каждой копии браузера создаёт уникальный ключ и отслеживает его" — я сижу в Хроме под свом гмейловским аккаунтом, что мне ваш ID?
        — «Запоминает время, когда был установлен на компьютер». — и что? Может встроят планировщик и будут звонить мне при невозможность обновления и спрашивать куда выслать диск с обновлением.
        -«При вводе адреса или поискового запроса символы постоянно отправляются на сервер Google для автодополнения» — абсолютно логично, а как еще то?.. Не надо? Можно отключить.
        — «При возвращении сайтом ошибки перенаправляет пользователя на сайт Google» — ой божешь ты мой. Не на сайт Microsoft или Mozilla или Opera как другие браузеры? На Google? Ну этош, ни сесть, ни встать какая страшная кака.
        — «Идентификатор RLZ, Отправляется на сервер Google раз в 24 часа, либо при поисковом запросе [источник не указан 1019 дней], и содержит некоторую информацию (например, откуда и когда загружен браузер)» — А мне не пофиг? я под своей учёткой сёрфлю, Откуда и когда загружен? Не качаю с левых сайтов. А если качну и в установщик будет вшит какой нибудь троян, так я только рад буду Гуглу помочь отследить источник.
        — «Google Updater. Следит за обновлениями браузера, скачивает и устанавливает их при необходимости» — ну это вообще п-ц!, A, что лучше чтобы я постфактум узнавал от каконить спеца который бы мне навесил ярлык лошара за то что я каждый божий день не лазю за обновлениями для своего браузера, и уже как полгода через какую то уязвимость, кто то что то тихо шлёт, Всегда можно отключить в сервисах. Еще бы Ubuntu обвинили, что она узнает об обновлениях.
        — «Отчёты об ошибках При возникновении ошибок браузера отчёты о них отправляются на сервер Google» — Таблица что ли маленькая показалась еще раз решили продублировать о том что после ошибок на сайт производителя отправляют? Или я чего должен ручкой писать письма с детализацией ошибки в ручном режиме? Хорошо напишу и сколько таких «меня» найдется во всем мире? 10-20? Не лучше ли не заботить пользователя такими проблемами?

        Chrome давно поддерживает режим Инкогнито. Более чем достаточно настроек для отключения всего, чего только возможно.
        Отключайте куки, скрипты если уж совсем, ну никак, ну ничего, ну никому, даже если это будет самому неудобно пользоваться.
        А еще можно расширениями пользоваться для запрещения чего нибудь.

        Я не утверждаю, что специалист, и википедия тот еще информатор, но коли страница на вики, для такого защищенного браузера дефилирует такими способностями, как не отсылка вышеописанных данных, это кого впечатлять такими скомпрометированными данными? Домохозяек?.. Микробы бывают и вредные и полезные. Ни одного вредного я не вижу.
      • 0
        Это смотря где и у кого. у некоторых он прекрасно обновляется на уровне WSUS и да, о ужас, рулится хоть и через костыли, но «групповыми политиками»…
  • 0
    Я продолжаю не понимать, отчего некоторые затачивают сайты именно под IE?
    • +2
      По причине того, что он идет по умолчанию в Windows.
      • +1
        Я имел ввиду, что при этом с особенным цинизмом плюют на остальные браузеры.
        • +1
          Не плюют. Верстать не умеют.
        • 0
          Возможно, это не цинизм, а экономически обоснованная позиция. Вот пара предположений:
          • Кроссбразуерность стоит денег, т.к. требует квалифицированного верстальщика.
          • Банковский софт как правило требует IE, так как там стоимость разработки достаточно серьезная, чтобы еще распыляться на все возможные браузеры.
          • 0
            Какой именно банковский софт имеете ввиду?
            Работаю со Сбербанк Онлайн из-под Linux (Mozilla FireFox). 3 месяца — полёт нормальный. Наверное, у Сбербанка хватает денег для совместимости этого сервиса под разные браузеры? Остальным, значит, нужно не отставать
            • 0
              Я имел ввиду Альфа-банк. Не «Альфа-клик» для физ. лиц, а «Альфа-Клиент On-line».
              При входе с браузера, отличного от IE8/9, получаешь уведомление, что часть функционала может работать не корректно.
              К слову, все прекрасно работает в Chrome: и веб – приложение работает нормально, и токен все подписывает.
              Однако, уведомление все же есть, значит одно из двух: либо что-то завязано на IE, либо не тестировалось.
          • 0
            Но позвольте — скорее, знание «особенностей» IE стоит дороже, чем следование изложенным стандартам.
            И я даже не имею ввиду верстку — бохужсней.
            Но вот когда код не заводится ни в одном браузере по причине использования конструкций типа document.all, что вынуждает пользоваться этим архаизмом 6ой версии, это уже полный абзац. Хотя шустренько заменить в полуавтоматическом режиме — скажем, на jquery — это ж проще, чем заводить шестого ослика.
            • 0
              Но позвольте — скорее, знание «особенностей» IE стоит дороже, чем следование изложенным стандартам.

              Да, конечно, знание особенностей дороже. Только в контексте того, что умеет IE, чего не умеют другие браузеры. Да и есть ли необходимость в таком знании, если, как вы правильно говорите, есть стандарты?
              Но я говорил о стоимости разработки, и в частности — тестирования. Одно дело тестировать под IE8/9, а другое — еще и под Webkit, Gecko или Presto.
              Хотя шустренько заменить в полуавтоматическом режиме — скажем, на jquery — это ж проще, чем заводить шестого ослика.

              Видимо, в контексте разработки таких масштабов — если речь идет о банках — вообще не получается что – либо сделать «шустренько».
  • +10
    Из перевода исчезли детали, что атака через Flash, а цифра в 41% настолько притянута за уши, что не отпускает чувство глубокой желтизны статьи.
  • +1
    Осталось найти способ запустить IE при использовании других браузеров.
  • +10
    • +1
      Вот всегда не понимал эту картинку: почему осёл тут жрёт именно клей, а не, например, мухоморы, что было бы более логичным? Или если уж клей — то «момент», и нюхать.
      • 0
        Это часть прикола.
      • +1
        Ну, давно это было, но поедание клея когда то было довольно популярной визуальной ассоциацией с умственной отсталостью, вот только не вспомню из какого первоисточника пошло. Лет этак -дцать назад.
        Черт, ну до чего IE няшный тут.
      • 0
        Американский стереотип — туповатые дети жрут ПВА (или аналог).
        • +2
          Кстати, он вкусный.
          • 0
            Раз уж о вкусах…
            и мухоморы вкусные
  • –4
    Ошибка в тексте статьи.
    Нужно так —
    «специалисты по компьютерной безопасности рекомендуют прекратить использование IE до тех пор, пока Microsoft не выпустит исправление.»
  • –2
    IE, IE… Кто им пользуется то? Я последний раз запускал IE 7 только для того, что бы посмотреть на сиськи представление IE о округлостях.

    Если кто не видел


    Открывать все в IE
    • 0
      Сиськи с приближением в хроме вообще трындец, как глючат.
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Отличный комментарий. Полностью поддерживаю. И что еще хорошо, IE не пытается обновляться каждые пять минут без спроса, как это делают остальные браузеры.
      • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    По-моему недавно майкрософт говорила, каким ОСОБО защищённым будет IE9… Или что? Ал хайль новому IE10, для которого пока не написали эксплоитов?
  • 0
    По-моему, вся проблема Microsoft в том, что он массовая. Кол-во клиентов огромное по сравнению с другими, поэтому она всегда под прицелом. При чем здесь «быдло код» и все остальное. Можно подумать, что половина из тех, кто делает комментарии о «быдло код» сами не пишет этот «быдло код». А массовый продукт он и есть массовый.
  • 0
    А как же image
  • 0
    А вот было бы здорово, если бы кто-то использовал эту уязвимость для распространения «доброго вируса», который сносит к чертям с корнями «интернет эксплойтер» и ставит на его место какой-нибудь полноценный браузер…
  • 0
    А кого этот IE волнует еще?
    Ну взломают школьников и домохозяек, и поделом им.
    • 0
      Почитай выше — волнует и во многих случаях не по воле пользователей им вынуждены пользоваться. Корпоративном секторе IE актуален.
      habrahabr.ru/post/151671/#comment_5146213 и ниже.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.