На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2002-6-13 на главную / новости от 2002-6-13
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 13 июня 2002 г.

Дыра Gopher в ПО Microsoft углубляется

Microsoft распространила предупреждение о «критическом» пробеле в защите браузера Internet Explorer, позволяющем хакерам, пользуясь устаревшим интернет-протоколом, получить контроль над машиной пользователя.

Как уже сообщалось, для удаленного доступа к компьютерам жертвы применяется почти вышедший из употребления протокол Gopher. Финская компания Online Solutions обнаружила эту уязвимость 20 мая и на прошлой неделе забила тревогу.

Однако угроза оказалась гораздо серьезнее, чем предполагалось вначале. Дыра присутствует и в некоторых серверных продуктах Microsoft. Компания считает ее критической для клиентских ПК с версиями Explorer 5.01, 5.5 и 6.0, а также для серверов интернет и интранет с программным обеспечением Proxy Server 2.0 или ISA Server 2000. В сервис-бюллетене, распространенном во вторник, Microsoft отмечает, что могут быть уязвимы и более старые версии серверных продуктов, но компания еще не тестировала их, «так как ранние версии больше не поддерживаются». Аналогично, могут быть уязвимы и более старые версии Internet Explorer. Microsoft не предлагает поправок для этих устаревших версий.

Причина проблемы в «неконтролируемом буфере, который управляет информацией, получаемой от сервера Gopher», поясняется в секьюрити-бюллетене. Gopher мало используется с тех пор, как его заменил протокол HTTP, с которым работают веб-браузеры. Однако IE все же поддерживает Gopher. Ошибка переполнения буфера позволяет хакерам полностью контролировать компьютер жертвы посредством хакерской программы, установленной на сервере. При этом совсем не обязательно, чтобы пользователи были подключены к серверу Gopher, — их компьютер может быть переадресован на такой сервер при помощи кода, включенного в HTML e-mail или в веб-страницу.

Баг в серверных продуктах может привести к еще более серьезным последствиям, так как злоумышленник может получить контроль над сервером. Хакеру ничего не стоит переформатировать жесткий диск или создать новые учетные записи администратора для доступа к серверу, чтобы выглядеть легитимным пользователем с полным доступом ко всем функциям и сетевым сервисам.

Предусмотренные в ПО параметры защиты позволяют свести угрозу к минимуму, как и любые средства, блокирующие Gopher. «Если пользователю правилами безопасности запрещено удалять файлы и менять параметры настройки, то злоумышленник тоже не сможет этого сделать», указывается в бюллетене Microsoft. Однако даже самых строгих параметров защиты может оказаться недостаточно. Например, Microsoft отмечает, что те пользователи, у которых в Outlook для e-mail установлен параметр Restricted Zone, все равно остаются уязвимыми через электронную почту HTML.

Microsoft еще не выпустила патчи для этого бага, но предлагает инструкции по временному решению проблемы. Одно из решений для серверов — заблокировать доступ к порту 70 TCP. Пользователям IE придется выполнить более сложную процедуру ручной блокировки доступа через Gopher. Для этого нужно войти в меню Tools и открыть окно LAN Settings в меню Connections вкладки Internet Options. Выключите параметр automatically detect settings (автоматическое определение параметров настройки) и включите use Proxy server for your LAN (использовать прокси-сервер для локальной сети). На вкладке Advanced убедитесь, что параметр use the same proxy server for all protocols (использовать один и тот же прокси-сервер для всех протоколов) выключен. Наконец, войдите в текстовое поле Gopher и установите параметры порта localhost и «1». Более подробные инструкции о временных решениях проблемы содержатся в секьюрити-бюллетене Microsoft от 11 июня.

Эта уязвимость — лишь одна из целой серии проблем безопасности, выявленных в последнее время в ПО Microsoft, несмотря на усиление внимания к вопросам защиты, к чему Билл Гейтс призвал сотрудников компании в январе. На прошлой неделе Microsoft выпустила предупреждение по поводу ASP.NET, набора программ для создания веб-приложений. В числе других обнаруженных недавно проблем пара ошибок, связанных с управлением файлами cookie в IE; ошибка взаимодействия VB-скриптов; лазейка для хакеров через переполнение буфера в MSN Messenger и Windows Messenger, а также потенциальная лазейка через функцию чата в MSN Messenger. 

 Предыдущие публикации:
2002-02-26   Microsoft предупреждает о серьезных ошибках
2002-05-29   Дыра Гунинского в Microsoft Excel
2002-05-30   Microsoft бьет тревогу по поводу дыры в Exchange
 В продолжение темы:
2002-07-11   Новый пробел в защите Outlook и IE
Обсуждение и комментарии
eXOR - billgmicrosoft.com
14 Jun 2002 8:17 AM
Ага... если я правильно понял эта херь вообще дает возможность remote - control поиметь...
 

 

← май 2002 7  10  11  12  13  14  15  16  17 июль 2002 →
Реклама!
 

 

Место для Вашей рекламы!