Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
НасайтеTheRegister http://www.theregister.co.uk/contenet/
сообщается, что в тех приложениях Microsoft, которые используют управление Web-браузером,
то есть в MS Outlook, Outlook Express и Internet Explorer, есть дыра, позволяющая
злоумышленнику просматривать файлы на ПК пользователя, похищать cookie и выполнять
некоторые другие операции.
Также обнаружена дыра в Outlook, позволяющая обойти пароли пользователя, а
то и вовсе захватить контроль над машиной. При этом вложение, прикрепленное
к письму, даже не требуется активировать. Заплатки пока нет. Еще одна дыра найдена
в MS SQL Server, вернее проблем тут целых три, зато все они исправляются одним
кумулятивным патчем.
Подробности на www.theregister.co.uk.
Тех, кого интересуют вопросы
защиты сетей от проникновения через принтеры, даем список статей в Интернет.
Первое проникновение на принтер зарегистрировано в 1999 году см. заметку на сайте TechWeb http://www.techweb.com/wire/story/TWB19 990617S0007/. Русский шпион проник в Центр космических и военно-морских систем (Space and Naval Systems Warfare Center Spa War) в г.Сан-Диего (San Diego, California). Как говорится в статье, проникновение было обнаружено в сети Spa War обслуживающим ее инженером, обратившим внимание на непривычно долгий срок исполнения работы принтером. После проверки инженер пришел к выводу, что хакер переконфигурировал таблицы маршрутизации на оборудовании во всей сети Spa War таким образом, что информация отсылалась в Россию.
Прочие статьи:
http://iblnews.com/news/noticia.php3?
id=37499 (испанский);
http://www.cnn.com/2001/TECH/industry/11/07/printer.vulnerability.idg/.
Help Net Security опубликовал
информацию об ошибке в Web-сервере iPlanet Web, которая может позволить получить
удаленный просмотр содержимого любого файла на жестком диске пораженного компьютера.
Уязвимое место есть в серверах iPlanet Web Server6.0SP2, iPlanet Web Server4.1SP9
и Netscape Enterprise Server3.6. Ошибка проистекает из того, что поисковый
движок, входящий в iPlanet6.0 и его предыдущие версии, использует файлы шаблонов
HTML для получения и форматирования поисковых параметров от пользователей. Составляя
запрос с помощью команды NS-query-pat, злоумышленник может определять файлы
или их выбор, отличный от того, что делается по умолчанию. Уже появился Service
Pack3 для iPlanet6.0 и Service Pack10 для iPlanet4.1.
Корпорация Microsoft выпустила
патч, пересматривающий заплатку от 12 июня 2002 года для решения проблемы переполнения
буфера в телефонной книжке Remote Access Service (RAS). Хотя предыдущий патч
исправлял уязвимое место, в некоторых случаях это имело побочный эффект для
соединений в виртуальных сетях (Virtual Private Networks (VPN)). Эта проблема
важна для MS WindowsNT, 2000 и XP, и критически важна для систем со службами
Terminal Server или недискриминирующим локальным доступом, потому что злоумышленник
может организовать сессию как законный пользователь, использовать дыру и повысить
свои привилегии до уровня администратора.
Информацию и заплатки смотрите по адресу: http://www.microsoft.com/technet/security/bulletin/MS02-029.asp.
Организация SecurityFocus сообщает
по адресу http://online.securityfocus.com/bid/5170/discussion/
об обнаружении дыры в защите Nullsoft Winamp, посредством которой может быть
запущен на исполнение вредоносный код. Nullsoft Winamp это один из наиболее
широко используемых медиа-плейеров для файлов типа MP3 и прочих. Дыра позволяет
создать переполнение буфера при проверке на наличие обновленной версии.
Из-за этой ошибки сервер по адресу http://www.winamp.com может вернуть неправильный ответ, так что хакер, который использует это уязвимое место, сможет запустить на исполнение код в процессе Winamp. Для достижения такого эффекта хакер должен получить контроль над доменом www.winamp.com.
Microsoft разместила по адресу
http://www.microsoft.com/technet/security/bulletin/MS02-032.asp
патчи для Windows Media Player6.4, 7.1 и Windows Media Player for WindowsXP.
Этот патч лечит следующие проблемы:
•уязвимое место, позволяющее раскрывать информацию и исполнять вредоносный
код на пораженной системе;
•дыру, через которую хакер может получить физический доступ к машине под
Windows2000, начать сессию на ней и получить такие же права, как у ОС;
•уязвимое место в скрипте исполнения, что позволяет злоумышленнику исполнять
на машине любой код. Это следствие проблемы в плейлисте Windows Media Player.
В этот патч Microsoft также вставила изменение в конфигурации расширений файлов, относящихся к Windows Media Player, и новую функцию защиты для пользователей или организаций, которые хотят принять дополнительные меры безопасности.
Обновления могут быть получены со следующих адресов:
•Для MS Windows Media Player6.4: http://download.microsoft.com/download/winmediaplayer/Update/320920/W98NT42KMe/EN-US/wm320920_64.exe;
•Для MS Windows Media Player7.1: http://download.microsoft.com/download/winmediaplayer/Update/320920/W982KMe/EN-US/wm320920_71.exe;
•Для MS Windows Media Player for WindowsXP: http://download.microsoft.com/download/winmediaplayer/Update/320920/WXP/EN-US/wm320920_8.exe.
1.Обнаружен червь, поражающий компьютеры, использующие Web-сервер Apache. Червь, пока еще не получивший официального названия, использует найденную в середине июня уязвимость в Apache, позволяющую хакеру реализовывать DoS-атаки, используя пораженный компьютер. Внастоящее время червь умеет захватывать компьютеры, работающие под управлением FreeBSD. Атака на Apache в версиях для других ОС может приводить к падению сервера. Червь атакует серверы с помощью двух запросов: вначале посылается простой HTTP-запрос, и если сервер возвращает строку, свидетельствующую о его уязвимости, то производится попытка ее использовать. Разработчики Apache уже опубликовали заплатку, которую рекомендуется немедленно установить.
2.Обнаружен сетевой червь, который занимается борьбой с брандмауэрами ZoneAlarm, точнее, только с одной его моделью, а также отсылает по электронной почте уведомления по одному из двух адресов, возможно, принадлежащих автору червя. Эти письма содержат информацию о зараженной системе.
Червь Worm.Win32.Datom состоит из трех разных компонентов: MSVXD.EXE, MSVXD16.DLL и MSVXD32.DLL. Первый компонент, MSVXD.EXE, активизирует червя при запуске, загружая библиотеку MSVXD16.DLL. Всвою очередь, MSVXD16.DLL загружает компонент MSVXD32.DLL, который выполняет основные функции размножения.
Отыскав доступные сетевые ресурсы, червь пытается соединиться с компьютером, на котором эти ресурсы находятся. Вслучае успешного соединения червь ищет доступную папку, которая может быть директорией Windows. Для этого он пытается использовать имя WinNT, а также читает раздел WinDir из файла MSDOS.SYS, если такой существует. Затем червь копирует в удаленную директорию Windows все свои компоненты и настраиваетавтозагрузкуфайла MSVXD.EXE при старте Windows.
3.Интернет-червь под названием Calil распространяется во вложениях
электронной почты. Для размножения используются функции программы MS Outlook.
Отсылаемые червем письма содержат в качестве приложения файл LILAC_WHAT_ A_WONDERFULNAME.avi.exe.
Червь меняет имя владельца зараженной системы на xEnOcrAtEs.
4.Зарегистрированы массовые случаи заражения новыми модификациями червя Frethem. Данный червь не представляет собой ничего необычного: это почтовый вирус, рассылающийся в приложениях в виде exe-файлов. Некоторые версии червя, включая последнюю, эксплуатируют старую уязвимость Internet Explorer IFrame (поэтому могут запускаться в MS Outlook автоматически), другие активизируются, только если пользователь сам запустит файл из вложения.
Вданной версии заражение системы происходит непосредственно в момент чтения
инфицированного электронного письма. Само письмо выглядит следующим образом:
Тема: Re: Your password!
Текст: ATTENTION! You can access very important information by this password DO NOT SAVE password to disk use your mind now press cancel
Вложенные файлы: decrypt-password.exe, password.txt.
Для отсылки сообщений червь использует протокол SMTP. Червь сканирует адресную книгу Windows (WAB), а также почтовые файлы .DBX и отсылает зараженные сообщения по обнаруженным адресам. Вдополнение Frethem устанавливает на компьютер утилиту скрытного удаленного администрирования, которая дает злоумышленникам возможность управлять системой и устанавливать новые версии самого червя.
В теле червя присутствуют от 10 до 50 Web-адресов. Процедура случайно выбирает один из этих сайтов и считывает оттуда указанный в коде червя файл. Данный файл содержит специальный скрипт, который обрабатывается и исполняется копией червя на зараженном компьютере. Вследствие этого червь способен скачивать обновления для себя с одного из этих сайтов.
В коде червя присутствует издевательская благодарность антивирусным компаниям за подкинутую идею и заверения, что никаких деструктивных функций червь не несет.
Вирус Frethem.k получил довольно широкое распространение и привлек большое внимание потому, что кто-то по ошибке отправил зараженное письмо в популярную антивирусную рассылку, и, кроме того, многие антивирусы на тот момент Frethem.k просто не распознавали.
Лаборатория Касперского особо отмечает, что перед инсталляцией червь проверяет клавиатурную поддержку языков и, если установлена поддержка русского или узбекского языков, вирус сразу прекращает свою работу без каких-либо дополнительных действий. Предыдущим вирусом, боявшимся русского языка, был червяк MyParties.
Лаборатория Касперского также настоятельно рекомендует установитьзаплаткудля
Internet Explorer, устраняющую ошибку в его системе безопасности. Это позволит
защитить компьютер не только от настоящих, но и будущих червей, которые могут
использовать IFRAME-брешь. Заплатку бесплатно можно загрузить по адресу:
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp.
КОМПЬЮТЕР-ИНФОРМ
Рубрики || Работа
|| Услуги || Поиск
|| Архив || Дни
рождения
О "КИ" || График
выхода || Карта сайта || Подписка
Рассылка анонсов газеты по электронной почте
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл 77-4461 от 2 апреля 2001 г.
Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru