Очередная серия дыр в продуктах Microsoft
27 января 2003 года, 11:07; текст: Иван Карташев
Не успел Билл Гейтс в очередной раз
привлечь внимание мировой прессы к проблемам компьютерной безопасности, как корпорация Microsoft опубликовала сразу три новых бюллетеня о проблемах с безопасностью в своих программных продуктах. Рейтинг новых уязвимостей варьируется от умеренного до критического, а об обновлении стоит подумать пользователям ОС семейства Windows NT, пакетов Outlook 2002 и Content Management Server 2001.В первом в наступившем году бюллетене
MS03-001 описывается дыра в службе Microsoft Locator, входящей в состав операционных систем семейства Windows NT версий 4.0 и старше. Служба Microsoft Locator предназначена для связи логических имен сетевых устройств с их сетевыми идентификаторами. По умолчанию эта служба включена при использовании доменных контроллеров (domain controllers) в серверных версиях ОС Windows 2000 и Windows NT 4.0.Для данных вариантов установки ОС уязвимость является критической. Злоумышленник может направить службе Locator особым образом сформированный запрос, который приведет к ошибке переполнения буфера. В итоге, хакер захватит управление системой. Для клиентских версий Windows XP, Windows 2000 и Windows NT 4.0 дыра умеренно опасна - ее можно использовать только при условии ручной активации службы Locator. В состав более ранних версий Windows NT данная служба не входила.
В бюллетене
MS03-002 описана уязвимость в системе управления веб-сайтами Content Management Server 2001. Дыра оценивается Microsoft как серьезная (important) и может привести к раскрытию информации. В одном из asp-шаблонов, входящих в комплект поставки пакета имеется ошибка в реализации технологии CSS (выполнение скриптов, расположенных на другом сайте). Ошибка позволяет встраивать в генерируемую на сервере страницу скрипт, способный передавать хакеру любую информацию, которую пользователь сервера вводит на его страницах. В более новой версии Content Management Server 2002 данная дыра отстутсвует.Последняя из дыр, описанная в бюллетене
MS03-003, актуальна для пользователей пакета Outlook 2002, шифрующих письма с применением сертификатов V1 Exchange Server Security. В Outlook 2002 имеется ошибка, которая возникает при шифровании с помощью сертификатов V1 Exchange Server Security почты в формате HTML. В результате, электронные письма отправляются открытым текстом, хотя пользователь думает, что его послания надежно зашифрованы. Впрочем, при использовании других алгоритмов шифрования подобные ошибки не возникают. Нет такой дыры и в предыдущих версиях пакета - Outlook 98, Outlook 2000. Более ранние версии Outlook больше не поддерживаются Microsoft, и о наличии в них такой дыры ничего не известно.Другие новости на эту тему можно найти в разделах .gif){kind=small}
Дыры и уязвимости в ПО
Источник:
Microsoft
Статьи
Ссылки по теме
- В борьбу с последствиями вирусной атаки включился президент Южной Кореи - 27 января 2003 года, 17:11
- Вирус Slammer поставил под угрозу выборы в Канаде и вклады в Америке - 27 января 2003 года, 16:07
- Очередная серия дыр в продуктах Microsoft - 27 января 2003 года, 11:07
- Linuxworld: Все средства сетевой безопасности в одной программе - 24 января 2003 года, 14:16
- Глава Microsoft снова обещает уделять больше внимания безопасности ПО - 24 января 2003 года, 11:04
- Старые жёсткие диски - кладезь конфиденциальной информации - 20 января 2003 года, 14:00
- Десять самых распространенных и опасных уязвимостей в ПО для интернета - 14 января 2003 года, 14:24
- MessageLabs предупреждает об опасном вирусе Lirva (Naith) - 9 января 2003 года, 13:26
- Дыры в RealOne Player, наконец, залатали - 19 декабря 2002 года, 16:30
© "Компьюлента", 2003
Меню по безопасности