По данным The Register http://www.theregister.co.uk/content/55/25075.html,
уязвимое место в программе Winamp плейере для проигрывания MP3-файлов обнаружил
швед Андреас Сандблад. Оно может позволить злоумышленникам распространять вирусы
через MP3-файлы. Вирус активизируется, когда MP3-файл проигрывается в Winamp,
при этом он может заражать другие MP3-файлы, найденные в сети или на жестком
диске. Уязвимое место программы обнаруживается, когда она читает часть MP3-файла,
используемую для идентификации исполнителя, жанра или названия композиции
ID3v2 tag. Изменяя эту часть, компьютер может начать выполнять неавторизированные
задачи. Стоит отметить, что версия Winamp2.80 уже не содержит этой ошибки.
Организация SecurityFocus по
адресу http://online.securityfocus.com/bid/4532/ разместила сообщение о проблеме
типа отказ в обслуживании, обнаруженной в ОС Windows2000. Используя ее, хакер
может заблокировать работу системы, засылая данные в неправильной форме на порт
445. Корпорация Microsoft также разместила информацию по этой проблеме по адресу
http://support.microsoft.com/default.aspx?
scid=kb;en-us;Q320751 и дала описание двух методов ее решения. Первый
отключение NetBIOS по TCP/IP, что закроет уязвимый порт. Однако, если есть программы,
которым необходима поддержка NetBIOS, можно создать и сконфигурировать MaxWorkItems
в регистре. Для этого нужно выполнить следующие операции:
1.запустить Registry Editor (Regedt32.exe); 2.разместить значение Parameters в регистре под следующим ключом:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ LanmanServer\ 3.в меню Edit кликнуть на Add Value, набрать MaxWorkItems; 4.кликнуть REG_DWORD и затем OK; 5.установить следующие данные:
•1024 для компьютеров с объемом памяти более 2ГБ;
•512 для компьютеров с объемом памяти от 512МБ до 2ГБ;
•256 для компьютеров с объемом памяти менее 512МБ; 6. закрыть Registry Editor.
Организация Bugtraq разместила
по адресу http://online.securityfocus.com/archive/1/268263/
сообщение о наличии дыры в ПО ColdFusion5.0 под Windows2000. ColdFusion работает
как расширение Web-сервера для предоставления дополнительных возможностей программирования.
Через эту дыру хакер может получить путь инсталляции ColdFusion. Это происходит
потому, что запросы к определенным DOS-устройствам обрабатываются фильтром Isapi.
Фильтр обрабатывает файлы с расширениями .cfm и .dbm, что приводит к ошибочному
сообщению, отображающему путь инсталляции в корне Web-сервера. Эта незначительная
ошибка не позволяет получить доступ к серверу, но делает возможным получение
информации, на основании которой хакер может провести более изощренное нападение.
Macromedia, производитель ColdFusion, предложила два пути решения этой проблемы:
1) примените шаблон Site-wide Error Handler, размещенный вверху страницы
Settings в ColdFusion Administrator;
2) откройте консоль управления, щелкните на Internet Information Services,
выберите Properties и затем Home Directory. Затем кликните на Configuration
и выберите .cfm и Edit. Убедитесь, что опция Check that file exists отмечена.
Наконец, повторите описанный процесс для файлов .dbm.
Согласно сообщению организации
SecurityFocus http://online.securityfocus.com/bid/4610/,
материнские платы IntelD845 (разработанные для поддержки процессора Pentium4)
содержат ошибку, позволяющую переключить устройство, с которого осуществляется
загрузка. Локальный пользователь сможет специфицировать устройство, с которого
ведется загрузка, по-иному, нежели указано по умолчанию, и таким образом обойти
конфигурационные установки системы защиты, установленные администратором. Эти
изменения можно осуществить при запуске машины. Нажатие определенного ключа
выведет меню с опциями устройства, с которого будет вестись загрузка.
Это уязвимое место демонстрирует, какое множество ошибок может быть использовано
хакером для получения привилегий в системе.
Вот поэтому системный администратор должен установить адекватные опасности
средства защиты. Они включают установку пароля в BIOS, отключение опций, которые
позволяют загрузку системы с диска иного, нежели указанного самим администратором.
Корпорация Microsoft разместила
по адресу http://www.microsoft.com/technet/security/bulletin/MS02-020.asp
исправление, закрывающее проблему переполнения буфера в версиях 7.0 и 2000 ПО
SQLServer. Воспользовавшись этой ошибкой, хакер мог контролировать сервер баз
данных, и, в зависимости от конфигурации, исполнять команды на системе зараженного
сервера.
Эта уязвимость была обнаружена в некоторых процедурах расширенного хранения
от Microsoft. Они не верифицировали ввод правильно. Это и позволяло хакеру создать
ситуацию переполнения буфера, остановить службу SQL Server или даже исполнять
код по его выбору с теми же привилегиями, что и у SQL Server.
Для того чтобы использовать эту дыру, хакеру надо было загрузить и исполнить
определенный запрос, который и создавал переполнение.
Это в значительной мере ограничивало возможности хакера, так как обычно неавторизованным
пользователям не разрешается загружать и исполнять запросы по собственному выбору.
Однако, если в системе позволялось исполнять запросы из Интернет зачастую
общепринятая практика на сайтах с поисковыми машинами, злоумышленник может
попытаться использовать один из существующих запросов, чтобы войти через необходимый
вход и использовать вышеуказанную ошибку. Стоит отметить, что такие действия
может производить только человек, хорошо знакомый с внутренним программированием
Web-сайта.
Расширенные процедуры хранения позволяют писать утилиты на таком языке, как
C. SQL Server включает некоторые из этих процедур в целях обеспечения пользователей
функциями электронной почты (например, xp_startmail для начала клиентской
сессии с SQL Mail).
Корпорация Microsoft выпустила
исправление для Outlook2000 и 2002. Наличие уязвимого места позволяло скрипту
исполняться при ответе или пересылке электронной почты в случае, когда текстовый
редактор Word используется для редактирования посланий e-mail.
Проблема проистекала из того факта, что Outlook 2000 и 2002 могут использовать
Microsoft Word как редактор при написании электронного послания в форматах RTF
или HTML. При такой конфигурации e-mail может исполнять скрипт, поскольку в
момент написания послания система работает в локальной зоне защиты, с менее
строгими ограничениями по безопасности.
Хакер может фактически создать послание, содержащее разрушающий скрипт. Когда
жертва получит и просмотрит это послание, Outlook применит зону защиты Интернет,
в которой скрипт не может быть запущен. Если же все-таки жертва ответит или
перешлет e-mail, и при этом в качестве редактора будет использоваться Word,
скрипт сможет выполнить разрушающие действия, поскольку послание не обрабатывалось
в местной зоне защиты. Более подробную информацию можно получить по адресу http://www.microsoft.com/technet/security/bulletin/MS02-021.asp.
На сайте SecurityFocus http://www.securityfocus.ru
опубликована статья Кэри Нахенберг (Carey Nachenberg), в которой автор предсказывает
большое будущее технологии борьбы с вирусами под названием Блокировка по поведению
(Behavior Blocking).В настоящее время антивирусные программы действуют, как
правило, по двум алгоритмам: во-первых, выискивается так называемая сигнатура,
во-вторых, применяется эвристическая техника. В первом случае, антивирусное
средство может обнаружить и истребить вредоносную программу будь то резидентный
вирус, почтовый червь, троян, backdoor ит.д. по определенной последовательности
байтов, которая и называется сигнатурой (fingerprint; дословно отпечаток
пальца). В антивирусных базах хранятся десятки тысяч таких сигнатур, однако
против совершенно нового вируса, сигнатура которого в базе отсутствует, антивирусный
пакет оказывается бессилен. В прежние времена, когда вирусы распространялись
в основном на носителях информации вроде дискет т.е. довольно медленно,
поставщики антивирусных решений успевали создать лекарство до того, как вирус
получал широкое распространение. Так что сигнатурные антивирусы работали не
только на лечение, но и на профилактику.
Второй метод эвристический предусматривает проверку всех команд программы
и выявление подозрительных. Эвристические технологии могут выявлять новые
вирусы, никогда ранее не встречавшиеся, и, таким образом, способны предотвращать
распространение опасного программного кода. С другой стороны, эвристические
методы нередко дают ложные предупреждения, помечающие чистый программный код
как подозрительный.
Естественно, в комбинации эти методы более эффективны, чем по отдельности.
Современные антивирусы, использующие оба метода, часто производят эмуляцию процессора,
или помещают подозрительную программу в песочницу т.е. изолируют полученные
из Интернет исполняемые файлы на время выполнения загружаемого кода. В песочнице
программа неспособна нанести вред системе. Однако, как пишет Нахенберг, при
использовании этих методов подозрительные программы подвергаются лишь частичному
сканированию, и весь набор их команд может и не быть проверен. Из-за того, что
существует множество способов закамуфлировать вредоносную программу, даже при
совместном использовании этих методов они не всегда могут обнаружить новую заразу.
Антивирусная система, работающая по методу блокировки по поведению, позволяет
антивирусу в реальном времени отслеживать действия работающих программ и блокировать
те действия, которые могут напоминать работу антивируса. К таким действиям относятся,
в частности, несанкционированные попытки открыть, просмотреть, удалить или изменить
файлы, отформатировать диск или произвести с ним какие-то другие операции с
необратимыми последствиями; это могут быть изменения в логике работы программ,
скриптов или макросов, модификация в ключевых установках системы; несанкционированные
попытки переслать по почте или через интернет-пейджеры исполняемые файлы, а
также несанкционированные попытки установить сетевые соединения. Кроме того,
как бы ни маскировался вирус, рано или поздно он выдает себя вполне конкретным
запросом к ОС, так что у антивируса есть возможность его обнаружить и истребить.
К сожалению, и у этого метода есть свои недостатки. В частности, для того,
чтобы антивирус мог вычислить все повадки вируса, тот должен запуститься в системе.
А соответственно нанести вред. Поэтому, считает Нахенберг, другие методики
эвристическая и сигнатурная никуда не денутся. Кроме того, нынешние блокирующие
системы обладают очень низкой эффективностью и высокими требованиями к системным
ресурсам и... системным администраторам. Другое дело, что и все остальные антивирусные
решения уже не могут обеспечить должной степени профилактической защиты от вирусов,
поэтому нужно искать новые способы или улучшать старые. Нахенберг считает, что
развитие метода поведенческой блокировки может оказаться очень перспективным
вариантом.
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ. Свидетельство Эл 77-4461 от 2 апреля 2001 г. Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru
По данным The Register http://www.theregister.co.uk/content/55/25075.html,
уязвимое место в программе Winamp плейере для проигрывания MP3-файлов обнаружил
швед Андреас Сандблад. Оно может позволить злоумышленникам распространять вирусы
через MP3-файлы. Вирус активизируется, когда MP3-файл проигрывается в Winamp,
при этом он может заражать другие MP3-файлы, найденные в сети или на жестком
диске. Уязвимое место программы обнаруживается, когда она читает часть MP3-файла,
используемую для идентификации исполнителя, жанра или названия композиции
ID3v2 tag. Изменяя эту часть, компьютер может начать выполнять неавторизированные
задачи. Стоит отметить, что версия Winamp2.80 уже не содержит этой ошибки.
КОМПЬЮТЕР-ИНФОРМ