Библиотека Интернет Индустрии I2R.ru |
|||
|
Новая порция уязвимостей в продуктах Microsoft05.10.2002 09:56 Корпорация Microsoft объявила о выпуске очередной порции заплаток к свои программным продуктам. Четыре пакета исправлений позволяют ликвидировать ряд новых дыр, обнаруженных в ОС Windows, СУБД SQL Server и инструментарии Interix SDK, входящем в пакет Microsoft Service for Unix 3.0. Наиболее серьезными являются уязвимости, обнаруженные в системе помощи ОС Windows и описываемые в бюллетене MS02-055. Эти уязвимости имеются во всех версиях Windows, начиная с Windows 98 и Windows NT 4.0. Система помощи в этих ОС построена на базе языка HTML, а за большую часть ее функциональности отвечает специальный модуль ActiveX, который и является уязвимым для атак. Первая уязвимость, по классификации Microsoft, является критической. Одна из функций в модуле ActiveX содержит непроверяемый буфер, вызвав переполнение которого, злоумышленник может захватить контроль над компьютером. Использовать уязвимость можно посредством специальным образом скомпонованной веб-страницы или электронного письма в формате HTML. Атаки по электронной почте не опасны для систем, в которых установлены пакеты Outlook Express 6 или Outlook 2002, либо Outlook 98 или Outlook 2000 с модулем Outlook Email Security Update. Еще одна уязвимость в системе помощи Windows имеет среднюю степень опасности, которая сводится к тому, что в файлах помощи Windows могут размещаться ярлыки для осуществления тех или иных действий с системой. В систему помощи заложены механизмы обеспечения безопасности, позволяющие использовать такие ярлыки только надежным файлам помощи. Однако недавно были обнаружены способы обхода защиты. Если файл с ярлыком находится в папке Temporary Internet Files с кэшем Internet Explorer, то он может быть ошибочно отнесен к надежным. Таким образом, злоумышленник получает возможность производить в системе любые действия. Однако использовать эту уязвимость сложно. Для этого нужно знать точный путь к кэшу Internet Explorer, который располагается в папках со случайными именами, вложенных в папку Temporary Internet Files. Еще две средних по опасности уязвимости содержатся в операционных системах Windows 98 (с установленным пакетом Plus!), Me и XP. Они связана с функцией сжатых папок (Compressed Folders), которая позволяет работать с архивами .zip как с папками. Первая уязвимость сводится к возможности переполнения буфера. Разместив в архиве файл с особым именем злоумышленник может "подвесить" оболочку Explorer или захватить управление компьютером. Вторая уязвимость заключается в том, что функция разархивирования может помещать в файлы не в ту папку, которую задал пользователь. В результате, злоумышленник может положить любую программу или документ в какую угодно папку, в том числе и в папку автозагрузки. Описание уязвимости и ссылки на файлы с заплатками можно найти в бюллетене MS02-054. Кроме того, Microsoft выпустила кумулятивный патч к СУБД SQL Server 7 и 2000. Он исправляет несколько уязвимостей, обнаруженных в SQL Server в разное время. Некоторые дыры, которые ликвидирует данная заплатка, относятся к критическим. Информацию о кумулятивном патче и дырах в SQL Server можно найти в бюллетене MS02-056. Наконец, дыра в Interix SDK актуальна для ОС семейства Windows NT и способна привести к запуску на пораженной машине произвольного кода и проведению DoS-атаки. Информацию об уязвимости можно найти в бюллетене MS02-057. последние новости 08.11.2006 12:16 | Бесплатный семинар по анализу, продвижению и управлению ресурсом...» 04.11.2006 17:50 | Создатель интернета: "Web грозит коллапс"...» 03.11.2006 15:01 | IT-Online - официальный спонсор конференции iDate2006 - Europe...» 02.11.2006 00:26 | Александр Садовский держит ответ перед оптимизаторами...» 02.11.2006 00:11 | 14 ноября - День Юзабилити в России...» 01.11.2006 23:37 | Оптимизатор создал SEO – поиск...» 01.11.2006 21:15 | Обзор Всероссийской онлайн-конференция «Интернет в регионах РФ: шаг вперед, два назад?..»...» 01.11.2006 20:46 | Сообщество «Для разработчиков» от Софт@Mail.Ru...» 01.11.2006 15:50 | Вышел номер журнала AboutPC №1 (104)...» 01.11.2006 12:39 | Продукты Corel будут оптимизированы под Vista...» 31.10.2006 15:43 | Запущен тест Интернет-Аналитика...» 31.10.2006 14:15 | Google отменила ограничение на индексацию страниц с id в URL...» 30.10.2006 21:20 | Adobe Systems представила новые продукты в России...» 30.10.2006 20:27 | Vox - блогосервис нового поколения...» 27.10.2006 20:29 | Web 2.0 служит катализатором в «плавке» Oracle...» 27.10.2006 19:46 | "Нейрон" - сервис сетевых закладок...» 27.10.2006 18:57 | "Планета" в кармане...» 27.10.2006 18:36 | Google признал Украину...» 27.10.2006 18:29 | "Суп" рассказал интернетчикам о судьбе русского LiveJournal...» 27.10.2006 17:29 | Капитализация Google зашкалила...» |
|
2000-2008 г. Все авторские права соблюдены. |
|