На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2000-1-31 на главную / новости от 2000-1-31
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 31 января 2000 г.

Microsoft опубликовала первую «заплатку» для Windows 2000

Не дожидаясь 17 февраля, Microsoft уже опубликовала первую «заплатку» для Windows 2000.

Она закрывает две дыры в защите Microsoft Index Server, наиболее опасная из которых позволяет хакерам просматривать файлы, хранящиеся на атакуемом веб-сервере. Index Server представляет собой дополнение к Windows NT 4.0 и встроен в Windows 2000 (в форме Indexing Services). Он обеспечивает разработчиков языком Active Scripting и средствами управления запросами.

Наиболее опасная из двух проблем, получившая название Malformed Hit-Highlighting Argument Vulnerability, обнаружена Дэвидом Личфилдом (Cerberus Information Security) из компании Cerberus Information Security 17 января. Она позволяет просматривать файлы на атакуемом веб-сервере и, по словам Личфилда, представляет собой серьезную угрозу. «Конечно, лучше всего сделать так, чтобы на веб-сервере не было никаких важных файлов, но это чрезвычайно трудно, — говорит Личфилд. — На многих серверах хранятся пароли и имена пользователей. Информация счетов и номера кредитных карт могут оставаться во временных файлах. Эти файлы следует регулярно удалять, но хакеры могут успеть прочитать их».

Это должен знать каждый
«Не нам оценивать серьезность этой проблемы — мы считаем серьезным любой риск нарушения защиты, — сказал менеджер по средствам защиты Microsoft Скотт Калп (Scott Culp). — Сейчас важно выпустить поправку и устранить проблему. Всем нашим заказчикам следует посещать наш сайт, посвященной защите».

Однако исследование Личфилда показывает, что риску подвергается, вероятно, большинство серверов под Windows. По его данным, по крайней мере шесть банков и три крупных производителя компьютеров пострадали от этой ошибки. «Проблема в том, что Index Server задействован по умолчанию, так что большинство людей даже не знают, что он у них есть. Увидев предупреждение Microsoft, они могут не осознать, что оно относится и к ним», — пояснил он.

Калп признал, что у многих пользователей Index Server может работать без их ведома. «Конечно, с точки зрения безопасности нельзя оставлять включенными какие-либо службы, которыми вы не пользуетесь, — сказал он. — Мы хотим, чтобы наши заказчики усвоили это и всегда знали, какие службы у них активны и как отключить то, что им не нужно. Кроме того, мы ввели в Windows 2000 более строгие параметры по умолчанию и значительно упростили выбор конфигурации».

Вторая ошибка относительно безобидна
Второй из двух дефектов позволяет злоумышленнику читать информацию из атакуемой сети, но эта лазейка считается относительно безобидной. Некоторые специалисты говорят, что она публично обсуждается уже несколько месяцев, но Калп утверждает, что Microsoft узнала об этом не раньше чем две недели назад. Во всяком случае обе проблемы не успели исправить в распространяемой версии Windows 2000, которая поступила в производство 15 декабря и уже тогда была доставлена производителям аппаратуры и некоторым другим важным партнерам. Крупные заказчики и разработчики получили «золотой» код в первой половине января.

В розничную продажу продукт поступит 17 февраля.

 

← декабрь 1999 19  20  21  24  25  26  27  28  31 февраль 2000 →
Реклама!
 

 

Место для Вашей рекламы!