Компания Microsoft планирует выпустить "заплатку", которая сделает невозможным использование определенного написания электронных адресов для получения несанкционированного доступа к логину и паролю пользователя. Как сообщается на сайте интернет-издания Ziff Davis Media, сейчас корпорация работает над выпуском обновления для Internet Explorer и Windows Explorer, однако точная дата его выхода пока не названа.
Проблема заключается в том, что в настоящее время для переадресации на сайты, которые требуют от пользователя назвать свои логин и пароль, используется следующая форма записи: http://joe:blow@www.microsoft.com/. Здесь "joe" означает имя пользователя, а "blow" пароль. Дело в том, что сайт, на котором не требуется пароль, игнорирует символы, находящиеся перед значком "@", и в качестве доменного имени используются только символы находящиеся после него.
Эта "дыра" в программном обеспечении используется для того чтобы заманить пользователя на ложный сайт, где можно буlет получить несанкционированyый доступ к паролю пользователя, который он на самом деле использует на другом сайте. Например, ссылка http://www.microsoft.com%2F@10.11.12.13/ ведет не на сайт корпорации Microsoft, а на электронный адрес 10.11.12.13.
После установки заплатки Internet Explorer будет реагировать на подобное написание появлением на дисплее веб-страницы со следующим сообщением об ошибке: "Invalid syntax error" ("Неверное написание электронного адреса" или "Синтаксическая ошибка").