Библиотека Интернет Индустрии I2R.ru |
|||
|
Последняя затяжка15.08.2002 14:02 То, чего все боятся, имеет неприятную особенность воплощаться в реальности. Эта эмпирически выведенная закономерность чудесным образом подтверждается в мире компьютерном - где, словно в продолжение серии всплывших за первую половину августа проблем с безопасностью (уязвимость в WinAPI 32, проблемы с OpenSSH, "дыра" в XDR и мн. др.), исследователями обнародована информация об очередной ошибке, обещающей негативно сказаться на каждом из нас. Причём - с вероятностью почти стопроцентной: знайте, что даже не имея на своей машине установленного сервера, пользуясь минимумом программного обеспечения (пусть даже и от альтернативных Microsoft производителей), вы подвержены новой атаке. Причина проста - "дырявый" плагин Shockwave Flash, используемый практически всеми современными веб-браузерами. "Дыра", раскопанная специалистами компании eEye Digital Security, сама по себе банальна: в основе её - привычное переполнение буфера. Воспользовавшись вспомогательным инструментом в виде HEX-редактора, заменив заголовок SWF-файла в нужном месте и скормив этот файл Flash-плейеру, можно заставить его принять больше данных, нежели он предполагает. В результате появляется возможность запуска постороннего кода, спрятанного там же, в модифицированном заголовке. Уязвимость наличествует во всех плейерах до версии 6.0.40.0, причём как в вариантах для Windows, так и для UNIX-систем. Любопытно, как Macromedia, подтвердившая наличие проблемы и выпустившая новую версию плейера, постаралась уменьшить её масштабы: по заявлению компании, создать файл для атаки можно лишь с привлечением дополнительных программ (того самого шестнадцатеричного редактора) - с помощью стандартного Flash-инструментария сделать это не получится. Как это способно помочь делу - непонятно. Но оценить опасность уязвимости, обнаруженной eEye, для компьютерного сообщества, можно всего по одному характерному факту: по оценкам Macromedia, более 90% современных персоналок способны проигрывать Flash-контент. Формат, менее чем за пять лет ставший стандартом де-факто для веб-дизайнеров, долгое время оставался свободным от подозрений в плане информационной безопасности - и отсюда следует второй момент, усугубляющий тяжесть случившегося. Дело в том, что даже в локальных сетях, защищённых фильтрами от внешних атак, браузеры - привилегированный компонент: им разрешено получать извне любой контент, а для атак с использованием уязвимости в Flash это - просто идеальное сопутствующее обстоятельство. Последнее открытие eEye - лишь одно из целой серии: всего этой компанией найдены 18 уязвимостей в Flash. А это уже, согласитесь, тенденция - говорящая о том, что некогда считавшийся безопасным формат имеет шанс потерять свою привлекательность для конечного пользователя и производителей программного обеспечения. Возможно, пройдёт несколько месяцев, и для поддержки Flash браузерами будет необходимо прямое разрешение на то пользователя компьютера. Впрочем, выход есть: Flash - коммерческое, проприетарное решение, для которого существует открытая альтернатива в виде XML-языка Scalable Vector Graphics (SVG). Разрабатываемый под контролем консорциума W3C, этот язык хорош уже тем, что программы для работы с ними создаются массой разработчиков, в том числе, и сообществом Open Source (см. SVG in Mozilla) - а значит, есть и надежда на его большую надёжность. последние новости 03.10.2006 20:09 | Определены победители конкурса Яндекса «Класс-2006»...» 03.10.2006 19:45 | Фильтр для Adobe Photoshop Depth of Field Generator PRO v3.0...» 03.10.2006 18:28 | Фильтр для Adobe Photoshop Depth of Field Generator PRO v3.0...» 03.10.2006 18:02 | Американский рынок SEO практически прекратил рост...» 03.10.2006 16:22 | W3C поможет сделать интернет доступнее для инвалидов...» 03.10.2006 14:57 | Page Promoter 7.4: эффективная работа с внешними факторами...» 02.10.2006 20:53 | Яндекс.Директ становится доступнее...» 02.10.2006 20:16 | Последние новости от Google AdSense...» 02.10.2006 20:01 | Вышел релиз-кандидат браузера Firefox 2.0...» 01.10.2006 20:59 | Самые дорогие кейворды Google Adsense: американцы интересуются образованием, россияне — рекламой...» 01.10.2006 20:39 | Состоялся открытый семинар клуба "Бизнес в стиле .RU"...» 28.09.2006 21:38 | 1 октября начнется конкурс "Премия Рунета"...» 26.09.2006 20:42 | Стартапы или Несколько советов по Честному изъятию денег 2.0...» 26.09.2006 20:32 | Яндекс пересчитал блоги...» 26.09.2006 20:11 | Хабрахабр становится социальной сетью...» 26.09.2006 20:03 | Хакеры представили браузер-невидимку...» 25.09.2006 19:53 | Adobe собирается бороться с пиратами просветительством и доступностью...» 25.09.2006 19:39 | Возможности Adobe Creative Suite расширяются дополнительными продуктами...» 25.09.2006 14:40 | ОС от Microsoft с ядром на C#...» 23.09.2006 19:33 | Бунт владельцев сайтов против черной оптимизации...» |
|
2000-2008 г. Все авторские права соблюдены. |
|