Microsoft ostrzega przed spreparowanymi linkami w IE7

Microsoft wydał Poradnik Zabezpieczeń oznaczony numerem 943521, w którym ostrzega przed problememspecjalnie spreparowanych linków otwieranych w aplikacjach firmtrzecich w systemie Windows XP i Widows Server 2003 - najwięcejmówi się o linkach osadzonych w dokumentach PDF. Problem dotyczy na przykład linku podobnego domailto:test%../../../../windows/system32/calc.exe, któryoczywiście już na pierwszy rzut oka nie jest adresem e-mail. Zdefinicji system przekazuje taki link do przeglądarki internetowej.Internet Explorer 6 odrzuca go od razu, podczas gdy IE7 przekazujelink do funkcji ShellExecute() systemu Windows - ta z kolei wWindows XP/2003 próbuje go automatycznie poprawić. W tym właśniemiejscu może dojść do nieuprawnionego wykonania kodu wywołanego wlinku. Co warte podkreślenia, problem ten nie dotyczy systemuWindows Vista, gdyż tam obsługa linków przebiega inaczej. Microsoft zwraca uwagę, że sam planuje zwiększyć restrykcyjnośćfunkcji ShellExecute(), aby nie dopuszczać do podobnych sytuacji,ale swoje powinni zrobić także producenci oprogramowania.Weryfikację linku można umieścić jeszcze po stronie aplikacji, zktórej jest on otwierany - w ogóle nie dopuszczając do przekazaniago systemowi operacyjnemu. Aktualnie Microsoft pracuje nad stosowną poprawką dla Windows XP iWindows Server 2003 z zainstalowanym IE7. Problemem nie są objęciużytkownicy Windows Vista ani żadnych innych systemów Windows.Adobe w swoim własnym poradniku zabezpieczeń opublikowało tymczaseminstrukcję wyłączenia otwierania linków mailto poprzez edycjęrejestru.