На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2002-2-26 на главную / новости от 2002-2-26
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 26 февраля 2002 г.

Microsoft предупреждает о серьезных ошибках

Microsoft выпустила заплатки для двух дыр в защите своего интернет-ПО, через которые хакеры могут читать файлы на компьютерах пользователей или перехватывать информацию с веб-страниц, которые они посещают. Кроме того, компания исправила несколько ошибок, позволяющих злоумышленникам выводить из строя веб-серверы или забираться в компьютерные сети, связанные с веб-серверами Microsoft. Три из четырех предупреждений Microsoft классифицировала как «критические».

Новые сигналы тревоги раздались на фоне продолжающейся мощной кампании Microsoft по повышению безопасности своего ПО. Microsoft пропагандирует стратегию .Net, которую хочет сделать центром реализации услуг на базе интернета, однако многие сомневаются в том, что продукты Microsoft достаточно надежны для этого.

Ошибки обнаружены в веб-браузере Internet Explorer, программе XML Core Services версии 2.6 и выше, Microsoft SQL Server и Microsoft Commerce Server 2000. Они исправлены несколькими отдельными патчами, которые Microsoft рекомендует установить немедленно. XML Core Services входит в состав каждой копии новой операционной системы Windows XP.

Баг VBScript в Internet Explorer
В Internet Explorer ошибка относится к способу взаимодействия VB-скриптов (фрагментов кода, которые могут быть встроены в веб-страницы) одного фрейма браузера с контентом других фреймов. Злоумышленник может создать веб-страницу или e-mail в формате HTML, позволяющие ему читать файлы на локальном диске пользователя или извлекать информацию с посещаемых им страниц. Второй сценарий означает, в частности, что атакующий может перехватывать номера кредитных карт и пароли, набираемые пользователем на веб-сайтах.

Злоумышленник может читать только те локальные файлы, которые отображаются в браузере, такие как текстовые или HTML-файлы. Для этого ему необходимо знать точный путь к этим файлам. Однако системные файлы Windows часто хранятся в одних и тех же определенных местах.

Причиной уязвимости является проблема защиты, возникающая при попытках VB-скриптов читать данные из фрейма браузера, расположенного в другом домене. Обычно это не допускается, но из-за ошибки такой доступ становится возможен.

Баг проявляется в версиях IE 5.01 SP2, 5.5 SP1, 5.5 SP2 и 6.0. Патч для IE находится здесь и доступен через Windows Update.

Баг XML Core Services
Версия XML Core Services 2.6 и выше — которая поставляется с Internet Explorer 6.0, SQL Server 2000 и всеми копиями Windows ХР — содержит баг, позволяющий хакеру читать данные из компьютера пользователя.

Ошибка относится к элементу ActiveX, называемому XMLHTTP, который позволяет открытым в браузере веб-страницам отправлять и принимать данные формата XML по стандартному протоколу HTTP. XMLHTTP ненадежно проверяет параметры безопасности некоторых типов запросов данных на веб-странице, что позволяет, с применением надлежащей маскировки, запрашивать данные с жесткого диска пользователя. Однако для этого атакующий должен сначала заманить жертву на свою веб-страницу. Через e-mail в формате HTML в данном случае действовать нельзя. Как и в случае бага IE, злоумышленник должен знать полный путь к файлу, который он желает прочесть.

Патч можно скачать отсюда или через Windows Update.

Commerce Server открыт для атак
Ошибка в Commerce Server 2000 имеет иную природу. Она позволяет злоумышленникам инициировать атаку типа Denial of Service (DoS), вывести сервер из строя или выполнить на сервере любую программу. Commerce Server базируется на ПО Microsoft Internet Information Services, но сам IIS не имеет отношения к этой уязвимости.

Ошибка находится в файле AuthFilter, присутствующем в Commerce Server по умолчанию. Атакующий может отправить данные аутентификации, переполняющие буфер AuthFilter, что приводит к отказу AuthFilter или заставляет его выполнять нужный атакующему код. Данный процесс имеет повышенные системные привилегии, что позволяет злоумышленнику получить полный контроль над сервером. В некоторых случаях атакующий может распространить свой контроль на другие компьютеры в сети, к которым у Commerce Server есть доступ.

Патч для этого бага находится здесь и будет включен в Commerce Server 2000 Service Pack 3.

Риск атак типа denial-of-service на SQL Server
Наконец, SQL Server содержит аналогичную ошибку неконтролируемого переполнения буфера, которая делает его уязвимым для атак DoS. Сервер версий SQL Server 7.0 и 2000 содержит буфер, позволяющий ему устанавливать специальный канал связи с удаленным источником данных. Хакер может организовать переполнение этого буфера, направив особый запрос через веб-сайт или попытавшись загрузить и выполнить такой запрос. Переполнение буфера может привести к отказу сервера или позволить злоумышленнику выполнить код с теми же системными привилегиями, что и у сервера. Однако использовать эту уязвимость можно не всегда — все зависит от конкретной конфигурации сервера. Патч для SQL Server 2000 находится здесь, а для SQL Server 7.0 — здесь.

Все перечисленные предупреждения об уязвимостях были опубликованы в конце прошлой недели. 

 Предыдущие публикации:
2002-02-11   Баги в серверном ПО Microsoft открывают двери для хакеров
2002-02-21   Microsoft готовит секьюрити-сканер
2002-02-22   Организация по интернет-безопасности будет собирать всех «клопов»
 В продолжение темы:
2002-03-12   Ошибка в программе zlib делает Linux-компьютеры уязвимыми
2002-04-11   Microsoft выпускает «критический» секьюрити-патч для IIS
2002-05-16   Microsoft прихлопнула еще шестерых клопов
2002-06-13   Дыра Gopher в ПО Microsoft углубляется
Обсуждение и комментарии
RoN - rodionlenta.ru
26 Feb 2002 12:34 PM
Неприятно удивил размер патча для MSXML 4.0 :-(
 

VB man
26 Feb 2002 4:14 PM
если б я был сейчас комсомольцем - а Бил был бы Ленином - то я б кричал - "Молодцы - так держать!!!"

а серьёзно - то меня всегда убивало - что МС неможет елементарные баги исправить....
 

-
26 Feb 2002 4:35 PM
Да там, похоже полностью инталляха. Что прикольно, я за час до апдейта скачал отдельно этот самый msxml 4 (поскольку апдейт не хотел его апдейтить поскольку его небыло). Т.е. они не выложили отдельно новую версию :(
 

Egres
27 Feb 2002 11:00 AM
Дас.... МС в своем репертуаре. Мне уже ради интереса хочется собрать статистику как часто разные компании выпускают апдейты к своему ПО.
 

E
27 Feb 2002 5:24 PM
2 Egres
Информация для вашей коллекции статистикию
С момента выхода в 1995г OS/2 Warp4 IBM выпустила 15 пакетов исправлений (последний для US-English 12/01/2001). Все пакеты коммулятивные. Размер последнего 18 файлов (1.44М) + 2 файла программы установки.
Если мне не изменяет память, то первый же пакет исправлений для 2К был больше 100М...
 

RoN - rodionlenta.ru
27 Feb 2002 5:36 PM
2 Egres: А что там с SNMP - багом? Под винду его залатали. Для всех версий. Дня за три с момента публикаций о нём. Надо было, наверное, им этого не делать, чтобы твою статистику апдейтов не портить.
 

E
27 Feb 2002 6:02 PM
2 RoN
Пожалуйста, "не смешивайте черновики с рукописями", т.е. апдейты (они же фикспаки) с частными патчами - стратегии их выпусков (как и цели) совершенно различны
 

RoN - rodionlenta.ru
27 Feb 2002 6:06 PM
2 E: не пойму, а в чём разница ?
 

E
27 Feb 2002 7:43 PM
2 RoN
Разница заключается в том, что апдейты - это периодические обновления системы вцелом, содержащие ВСЕ накопленные, тщательно проверенные, прошедшие полный цикл контроля на совместимость и корректность исправления и возможные небольшие модернизации.
Патчи же - это оперативные, экстренные заплатки на конкретные ошибки в конкретных модулях. Выпускаются по мере обнаружения и как правило не проходят всего цикла ткстирования (особенно комплексных тестов).

И патчи и апдейты могут исправлять одни и те же ошибки, но различными способами. При этом исправлению могут даже подвергаться разные программные модули
 

Egres
28 Feb 2002 8:04 AM
2 RoN:А что там с SNMP - багом? Под винду его залатали
===
Да ничего, все в порядке как, и у большинства других компаний. МС это зачтется :-))).
 

VicTor
28 Feb 2002 9:36 AM
2E:
Ну и что? А для Warp3 выпущено больше 40 фикспаков, а для OS/2 2.11 больше 120. Но почувствуйте разницу между сервиспаками M$ и фикспаками Warp - ибо накатывание последних фикспаков на соответствующие версии OS/2 практически превращает их в системы следующей версии. Т.е. накатывание FP15 на Warp4 превращает последнего в Warp4.5 (codename Aurora).
 

Дмитрий
28 Feb 2002 11:26 AM
Egres'у для статистики.
IBM к своей OS/400 выпускает за год несколько тысяч фикс-паков и 2-3 кумулятивных обновления. Общий объем исправлений за год превышает раза в 1.5-2 объем самой операционной системы, а кумулятивные исправления надо забирать на ленточке - они до пары гигов, бывает, доходят. Не часто, конечно, но на моей памяти было. В основном 500-800Mb

VicTor'у - превращение одной версии в другую, 4.0 в 4.5 - это исправление одной цифры с 0 до 5. Windows NT 4.0 SP3, например, это фактически новая версия по объему добавленной поддержки новых функций, драйверов, модернизации файловой системы.
 

eXOR - billgmicrosoft.com
17 May 2002 9:26 AM
Типа у мелкософта стратегия безопасности, теперь все сервиспаки и глюки будут выходить с лозунгом - теперь все стало надежнее. Теперь сервипаки стали самыми сервиспакными из всех сервиспаков.
 

 

← январь 2002 20  21  22  23  24  25  26  27  28 март 2002 →
Реклама!
 

 

Место для Вашей рекламы!