Библиотека Интернет Индустрии I2R.ru |
|||
|
Новая порция уязвимостей в продуктах Microsoft05.10.2002 09:56 Корпорация Microsoft объявила о выпуске очередной порции заплаток к свои программным продуктам. Четыре пакета исправлений позволяют ликвидировать ряд новых дыр, обнаруженных в ОС Windows, СУБД SQL Server и инструментарии Interix SDK, входящем в пакет Microsoft Service for Unix 3.0. Наиболее серьезными являются уязвимости, обнаруженные в системе помощи ОС Windows и описываемые в бюллетене MS02-055. Эти уязвимости имеются во всех версиях Windows, начиная с Windows 98 и Windows NT 4.0. Система помощи в этих ОС построена на базе языка HTML, а за большую часть ее функциональности отвечает специальный модуль ActiveX, который и является уязвимым для атак. Первая уязвимость, по классификации Microsoft, является критической. Одна из функций в модуле ActiveX содержит непроверяемый буфер, вызвав переполнение которого, злоумышленник может захватить контроль над компьютером. Использовать уязвимость можно посредством специальным образом скомпонованной веб-страницы или электронного письма в формате HTML. Атаки по электронной почте не опасны для систем, в которых установлены пакеты Outlook Express 6 или Outlook 2002, либо Outlook 98 или Outlook 2000 с модулем Outlook Email Security Update. Еще одна уязвимость в системе помощи Windows имеет среднюю степень опасности, которая сводится к тому, что в файлах помощи Windows могут размещаться ярлыки для осуществления тех или иных действий с системой. В систему помощи заложены механизмы обеспечения безопасности, позволяющие использовать такие ярлыки только надежным файлам помощи. Однако недавно были обнаружены способы обхода защиты. Если файл с ярлыком находится в папке Temporary Internet Files с кэшем Internet Explorer, то он может быть ошибочно отнесен к надежным. Таким образом, злоумышленник получает возможность производить в системе любые действия. Однако использовать эту уязвимость сложно. Для этого нужно знать точный путь к кэшу Internet Explorer, который располагается в папках со случайными именами, вложенных в папку Temporary Internet Files. Еще две средних по опасности уязвимости содержатся в операционных системах Windows 98 (с установленным пакетом Plus!), Me и XP. Они связана с функцией сжатых папок (Compressed Folders), которая позволяет работать с архивами .zip как с папками. Первая уязвимость сводится к возможности переполнения буфера. Разместив в архиве файл с особым именем злоумышленник может "подвесить" оболочку Explorer или захватить управление компьютером. Вторая уязвимость заключается в том, что функция разархивирования может помещать в файлы не в ту папку, которую задал пользователь. В результате, злоумышленник может положить любую программу или документ в какую угодно папку, в том числе и в папку автозагрузки. Описание уязвимости и ссылки на файлы с заплатками можно найти в бюллетене MS02-054. Кроме того, Microsoft выпустила кумулятивный патч к СУБД SQL Server 7 и 2000. Он исправляет несколько уязвимостей, обнаруженных в SQL Server в разное время. Некоторые дыры, которые ликвидирует данная заплатка, относятся к критическим. Информацию о кумулятивном патче и дырах в SQL Server можно найти в бюллетене MS02-056. Наконец, дыра в Interix SDK актуальна для ОС семейства Windows NT и способна привести к запуску на пораженной машине произвольного кода и проведению DoS-атаки. Информацию об уязвимости можно найти в бюллетене MS02-057. последние новости 15.02.2007 18:54 | Corel выпустила обновленную версию Painter...» 15.02.2007 17:44 | Открыта регистрация на конференцию РИТ 2007...» 15.02.2007 17:18 | Adobe представила мобильную версию Flash Player c поддержкой видео...» 14.02.2007 15:26 | Cisco взялась за строительство социальных сетей Web 2.0...» 09.02.2007 20:15 | Интернет по стандартам w3c...» 09.02.2007 19:45 | Ежегодная международная конференция PHPCONF 2007 состоится в мае...» 06.02.2007 15:19 | Готовится к выпуску девятая версия браузера Netscape...» 05.02.2007 20:09 | Oracle с интерфейсом Web 2.0...» 04.02.2007 20:19 | Социальные сети по версии IBM...» 03.02.2007 20:29 | Открыта первая баннерная сеть для блоггеров...» 02.02.2007 20:40 | Adobe Labs Flash Media Encoder - трансляция видеоматериалов в режиме реального времени...» 02.02.2007 14:40 | Девять советов для предпринимателей в Веб 2.0...» 30.01.2007 17:01 | Code Contest - конкурсное программирование...» 29.01.2007 19:25 | РА "Артон" проводит практический семинар "Эффективная реклама в Интернете"...» 25.01.2007 18:58 | Adobe передает PDF в организацию по стандартизации...» 25.01.2007 16:35 | Сисадмины и юзеры вновь стали героями сборника курьезных историй...» 23.01.2007 20:04 | IBM впрыскивает в Lotus дозу Web 2.0...» 23.01.2007 19:47 | Сайт Софт@Mail.Ru предоставил рейтинг самых популярных программ 2006 года...» 23.01.2007 17:18 | 16 февраля - бесплатный семинар по анализу, продвижению и управлению ресурсом...» 22.01.2007 20:29 | Пользователи недовольны платежной системой Google Checkout...» |
|
2000-2008 г. Все авторские права соблюдены. |
|