Microsoft залатала IE, но ее проблемы не закончились

В четверг Microsoft выпустила патч для пары «серьезных» пробелов в защите веб-браузера Internet Explorer, но все еще исследует получившую широкую огласку уязвимость операционных систем Windows NT и Windows 2000.

Патч для браузера устраняет две лазейки. Первая позволяет злоумышленнику подбрасывать код в компьютер веб-серфера через cookie. Cookies — это мелкие файлы, которые веб-сайты размещают в защищенной области на жестком диске ПК посетителей, чтобы отслеживать повторные визиты. Баг позволяет вводить в cookie скрипты и размещать их в незащищенной области на жестком диске. Программа может быть выполнена при следующем посещении сайта хакера. Благодаря второму багу злоумышленник может поместить на веб-сайте код, автоматически исполняющий программы, уже присутствующие на ПК посетителя. Microsoft оценила обе ошибки как «серьезные» и порекомендовала пользователям версий Internet Explorer 5-6 как можно скорее загрузить новый патч.

Однако Microsoft еще не исправила ошибку, обнаруженную в отладочном компоненте Windows NT и Windows 2000. Она позволяет злоумышленникам получить доступ к серверу с высокими привилегиями и изменять или удалять защищенные файлы. Сообщения об этой ошибке стали появляться в дискуссионных форумах и на других интернет-ресурсах в середине марта, однако в четверг компания Entercept Security Technologies распространила бюллетень, предупреждающий клиентов о данной проблеме, чем вновь привлекла к ней внимание.

Эксперт Entercept Чад Харрингтон (Chad Harrington) считает уровень риска от уязвимости средним, так как злоумышленник должен применять эксплойт непосредственно, а не по интернету. Entercept связывалась с Microsoft по поводу этой проблемы две недели назад и теперь решила предать ее гласности, так как, пока Microsoft готовит ответ, новость может распространиться. «Мы просто проинформировали людей о том, что уже не является секретом для хакеров, — сказал Харрингтон. — Вообще-то мы не считаем, что специалисты по безопасности должны разглашать информацию об уязвимостях, пока производитель ПО не устранит их... но данный случай особый. Яд уже был выпущен».

В заявлении Microsoft говорится, что она все еще изучает вопрос и что Entercept зря подняла тревогу. «Мы обеспокоены тем, что отчет распространен раньше того разумного срока, за который мы могли бы провести исследование. В результате наши заказчики без необходимости введены в замешательство и даже поставлены под удар. Ответственные специалисты по безопасности, подозревая уязвимость, сотрудничают с производителем ПО, чтобы гарантировать, что контрмеры будут выработаны раньше, чем о проблеме станет широко известно и заказчики подвергнутся неоправданному риску».

Microsoft вместе с экспертами по безопасности разрабатывает руководящие материалы, регламентирующие, как и когда следует оповещать пользователей об уязвимостях. Это часть кампании Trustworthy Computing, направленной на усиление внимания разработчиков Microsoft к вопросам безопасности при разработке продуктов.

По словам Харрингтона, временное решение проблемы предложило германское отделение CERT (Computer Emergency Response Team).

Предыдущие публикации:

2002-01-18		Гейтс: «Пора браться за повышение безопасности»
2002-02-21		Microsoft готовит секьюрити-сканер
2002-02-22		Организация по интернет-безопасности будет собирать всех «клопов»
2002-03-15		Баг open-source проник в код Microsoft

В продолжение темы:

2002-04-11		Microsoft выпускает «критический» секьюрити-патч для IIS
2002-05-08		Через старую дыру в MS Office до сих пор вытекают данные?
2002-05-16		Microsoft прихлопнула еще шестерых клопов
2002-07-11		Новый пробел в защите Outlook и IE

Обсуждение и комментарии

	Old Cobol Programmer в отставке 2 Apr 2002 12:00 AM
гы MS отстой. уже у всех есть ЕКСПЛОИТ а они до сих пор считают что рано поднимать тревогу, да уже поздно поднимать то что уже отвалилось у MS. И это у этой то дыры степень "средняя"? У рутного эксплоита который работает на любой НТ для любого юзера который может залогиниться? Да выше не придумаешь ему нехватает только чтоб он был remote чтобы был вообще $#@%3. А какая степень опасности у бага zlibа тогда? Если так же мыслить то вообще нулевая потому что эксплоита нет и врядли будет потому что техника использования такого бага очень сложная и далеко не у всех есть условия зарутить чтонибудь даже если бы эксплоит был.

	zack 2 Apr 2002 2:58 AM
один админ объяснил уже всем, что это вообще не дыра- нафига кому-то эксплоит если в большинстве случаев все пользовате и так работают от админа :)

	Skull - sibskullmail.ru 2 Apr 2002 8:45 AM
О! Супер! Никогда не думал, что cookie - это маленькие файлы. Ну если MS работает с куками через Ж., тогда понятно. У меня в Konqueror все лежит в одном файле. IMHO, намного удобнее.

	RoN - rodionlenta.ru 2 Apr 2002 9:34 AM
Вот все звиздеть горазды, не разобравшись в вопросе. Бага позволяет запустить аппликуху с секьюрным токеном уже _существующего_ процесса. На рабочей станции, как правило, все процессы работают с токенами залогиненого юзера или Local System. Исключение - процессы NT-сервисов, которые могут быть настроены на запуск с определённым аккаунтом. Но, опять-таки, их, как правило, на запуск под Administrator-ом не настраивают. Т.ч. никакой речи о запуске процесса под administrator-ом не идёт.

	Qrot 2 Apr 2002 11:01 AM
2RoN: там еще слова были про отладочный компонент - не очень понятно, это в отладочной версии или чего? ты не исследовал?

	Ефрейтор 2 Apr 2002 11:46 AM
2 RoN: > все процессы работают с токенами залогиненого юзера Этого вполне хватает. Ты с Delphi под NT и неадминистраторскими правами работал? В какой-то версии там был глюк с панелью элементов, который устранялся только ручной правкой реестра. И Borland не одинок в своих начинаниях.

	Qrot 2 Apr 2002 12:08 PM
2Ефрейтор: ну так если у тебя уже администраторские права, что тебе еще надобно?

	RoN - rodionlenta.ru 2 Apr 2002 12:18 PM
2 Qrot: Это не отладочный компонент. smss - это диспетчер сеансов, так называемый. Отвечает за запуск процесса winlogon, и за запуск исполнительных подсистем (Win32, OS/2 и POSIX). Win32 подсистема (процесс csrss) при загрузке запускается всегда, OS/2 и POSIX - по требованию. Вообще говоря, smss практически всё время простаивает (это можно увидеть даже в том же Task Managare). Про отладочный компонент было упомянуто по всей видимости потому что помимо всего прочего smss отвечает за обработку вызовов ф-ий Debugging API из kernel32.dll. Хотел я с сырцами этого эксплойта поковыряться, но он там юзает API в SDK не описаный, это надо DDK ставить, а мне лень :-)

	RoN - rodionlenta.ru 2 Apr 2002 12:24 PM
2 Ефрейтор: Да, к сожалению, таких прог хватает :-( Первое же, что на ум приходит - ICQ. Держит приватную БД пользователя в своём рабочем каталоге.

	Qrot 2 Apr 2002 12:57 PM
2RoN: а! я грешным делом подумал что бага в проявляется только в модулях с отладочной инфой.. на микрософте лениво инфу читать :))

	Сергей - sergueyhot.ee 13 Apr 2003 2:32 PM
У меня большая проблема. Один раз я запустил IE, и стартовой страницей вышел какойто порно сайт. Ладно, я зашел в TOOLS,Internet Options и поменял стартовую страницу, но не тут то было. Через некоторое время я закрыл браузер и снова его открыл. Снова этот порно сайт стал стартовой страницей. Пожалуйста, помогите решить мне эту проблему. Это какой-то вирус? Как избавиться от этого сайта? Почему так происходит?

	Потемина Екатерина леговна - purokm.ru 22 Aug 2003 8:31 PM
Умоляю Вас подсказать мне,как избавиться от стартовой порно страницы

	Потемина Екатерина леговна - purokm.ru 22 Aug 2003 8:32 PM
Умоляю Вас подсказать мне , как избавиться от навязчивой стартовой порно страницы

	Потемина Екатерина леговна - purokm.ru 22 Aug 2003 8:34 PM
Умоляю Вас подсказать мне, как избавиться от навязчивой стартовой порно страницы

	kny-natalya@yandex . ru 8 Dec 2005 2:39 PM
Как избавится от стартовой порно страницы

← март 2002

1 2 3 4 5 6 7 8 9

май 2002 →