20 ноября корпорация Microsoft
выпустила два бюллетеня с описанием уязвимых мест в браузере Internet Explorer
и ОС семейства Windows.Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
20 ноября корпорация Microsoft
выпустила два бюллетеня с описанием уязвимых мест в браузере Internet Explorer
и ОС семейства Windows.
В бюллетене MS02-066 описываются 6 дыр в браузерах Internet Explorer 5.01, 5.5 и 6.0. Кроме этого, была обнаружена критическая дыра в MS Data Access Components модуле доступа к данным ОС Windows98/Me/2000 с браузерами Internet Explorer версий от 5.01 до 6.0.
Первое из уязвимых мест в Internet Explorer связано с неправильной обработкой графических файлов в формате .PNG (Portable Network Graphics). Вслучае если графический файл, содержащий неправильную информацию о размере картинки, попадает в браузер, то возникает ошибка переполнения буфера, вызывающая падение браузера. Кроме Internet Explorer аварийно могут завершаться и другие программы, включая приложения пакета MS Office и Index Server.
Вторая уязвимость связана с возможностью получения доступа к папке временных файлов Интернет (Temporary Internet Files). Узнать точное местоположение этой папки, которая в целях безопасности скрывается системой, можно, используя особым образом сформированныйHTML-тэг object. Обычно Internet Explorer осуществляет проверку безопасности страниц с таким тэгом, но оказалось, что существует способ обойти эту проверку. Это позволяет хакеру получить информацию о пользователе и компьютере, почерпнув ее, к примеру, из файлов cookie.
Следующая уязвимость связана с недостатками метода, по которому Internet Explorer обрабатывает коды символов в URL. Чтобы использовать уязвимость, хакер должен заманить пользователя на свою Web-страницу, а затем заставить его перейти на другой сайт по ссылке, содержащей определенный набор символьных кодов. Врезультате, хакер сможет проследить ход пользовательской сессии со вторым сайтом и похитить его персональные данные.
Следующие три уязвимости: Cross Domain Verification via Cached Methods, Frames Cross Site Scripting и Improper Cross Domain Security Validation with Frames, являются самостоятельными дырами, но несут одну и ту же угрозу. Все они связаны с ошибками в реализации проверки безопасности при переходе из одного домена в другой. Врезультате, разместив на Web-странице или в электронном письме в формате HTML особым образом сформированную ссылку, хакер сможет запускать любые программы, уже имеющиеся на диске пользователя. Некоторые специалисты по безопасности даже сообщили о появлении в Интернет ссылок, вызывающих форматирование диска. Патч расположен по адресу: http://www.microsoft.com/windows/ie/downloads/critical/q328970/default.asp.
Бюллетень MS02-065 сообщает
об уязвимости в MDAC (MS Data Access Components) компоненте, обеспечивающем
доступ к базам данных ОС WindowsMe и 2000, браузеров Internet Explorer 5.01,
5.5 и 6.0, а также серверных продуктов Microsoft. Уязвимость связана с неправильной
работой функции RDS Data Stub, входящей в состав модуля доступа к удаленным
службам обработки данных (RDS).Если использовать в качестве аргумента RDS Data
Stub особым образом сформированный HTTP-запрос, то RDS Data Stub сработает неправильно
и вызовет ошибку типа heap overrun. Врезультате, хакер сможет управлять компьютером.
Данная уязвимость имеется во всех версиях MDAC, за исключением последней версии
с порядковым номером 2.7.
Продукты,использующие MDAC2.7, в том числе и WindowsXP, устойчивы к вышеописанной атаке. Пользователям систем с более ранними версиями MDAC рекомендуется скачать заплатку: http://www.microsoft.com/downloads/Release.asp?ReleaseID=44733.
КОМПЬЮТЕР-ИНФОРМ
Рубрики || Работа
|| Услуги || Поиск
|| Архив || Дни
рождения
О "КИ" || График
выхода || Карта сайта || Подписка
Рассылка анонсов газеты по электронной почте
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл 77-4461 от 2 апреля 2001 г.
Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru