|
 Все новости от 17 мая 2000 г.
MS вновь поскользнулась на безопасности
Дружелюбный «ассистент» обходится слишком дорого. Таков урок обнаруженного на прошлой неделе «черного хода», который сводит на нет мощные функции Microsoft Office Assistant.
Лазейка, позволяющая злоумышленнику написать скрипт, который, оказавшись в компьютере пользователя, может делать все, что угодно, в том числе добавлять и удалять файлы, активизируется кликом на веб-странице или письме в формате HTML. «Возможно все что угодно, ведь эти функции помечены как safe for scripting, — говорит специалист по защите данных из компании @Stake, он же хакер по кличке Dildog, обнаруживший лазейку.
Microsoft выпускает заплатку, но от комментариев отказывается
Microsoft выпустила заплатку, закрывающую эту лазейку, но пользователям придется сначала скачать ее, а затем обновить программу Office. Получить комментарии у представителей Microsoft пока не удалось.
Office Assistant с самого его появления критиковали за то, что он напоминает ходунки для неопытных пользователей. Однако, несмотря на все свое дружелюбие, Office Assistant скрывает в себе значительную мощь. По существу, наличие в нем «черного хода» позволяет внедрять макросы, управляющие ПК, полностью отстраняя пользователя. Демонстрационная программа, разработанная @Stake, переводит степень системной защиты на уровень low и копирует текстовый документ на жесткий диск. «Это позволяет создавать вирусы беспрецедентной разрушительной силы», — предупреждает @Stake.
Dildog одобряет быструю реакцию Microsoft на его предупреждение, но критикует компанию за слабую защиту системы скриптов Windows. «Вы не имеете права помечать какие-то функции как safe for scripting, если оставляете возможность запускать их дистанционно», — указывает он. Дело в том, что участники индустрии склонны замалчивать информацию о пробелах в защите. Обычно об этом известно лишь узкому кругу сотрудников компаний. «У Microsoft есть привычка держать людей в неведении, — говорит Dildog. — Данный способ перехвата управления не отражен ни в одном документе».
Где купить: продукты Microsoft
|
 |
 | Victor Sazhin - vicman vcw.ru
18 May 2000 2:35 AM |
Нда... MSMD, воистину MD!
Правда я зашёл на ту страничку (ну хацкера в смысле), запустил всё это извращение и оно у меня не сработало - IE ошибку выдал. Файл на диске не создался... Может это пользователей локализованной версии не касается? |
|
| Андрей Черепанов - andrey_tigeri.am
18 May 2000 4:58 AM |
И кто теперь будет доверять системам от M$??
Подобные новости вызывают у меня легкую улыбку,
так как я уже давно на продуктах Microsoft не
работаю. И ничего, живу и здравствую! Того и всем
желаю!
|
|
| Vlad - vobertomcat.ru
18 May 2000 10:05 AM |
| Ставьте брандмаунр и сами решайте, кому дать, а кому отказать. Вот, например, AtGuard вроде неплохой. |
|
| vlad vul - vulmail.ru
18 May 2000 12:10 PM |
1 Атгвард не Брандмауэр а файрволл
2 Ни тот ни другой ни третий не поможет
от этой дыры, так как она на приуладном уровне. |
|
| AlexanderVM
18 May 2000 12:51 PM |
| 2 vlad vul: 1 -> а в чем разница. Только в буквах. |
|
| VDM - vdmbankend.ee
18 May 2000 1:38 PM |
| Есть вещи пострашнее... |
|
| Александр K - akolyagoworkmail.com
18 May 2000 7:07 PM |
Как же ту не поскользнуться :-)))
Когда все интегрировано во все.
На мой взгляд основная проблема - в теснейшей
интеграции почтовых клиентов и броузеров от MS в
операционку. Достаточно "чихнуть" Outlook'у, а
операционка уже "заболела".
Почему Linux (Black Cat, других не видел)пишет,
что надо быть stoopid, что бы запускать IRС (а
Netscape вообще не запускается) если залогинился с
правами root?
Почему WinNT позволяет что угодно запускать с
правами администратора?
|
|
| НИК
19 May 2000 12:11 PM |
МС не придает значение тестированию и качеству своих продуктов. Главное для них пытаться влесть во все и захватить как можно больший рынок.
Тех кто придает большее значение качеству они вытесняют (в тех областях где надежность не очень важна).
А что по мне - я был большим поклонником им решений и даже сдал MSCD, но год назад перешел на Solaris (работу поменял) и теперь просто не представляю на этом отстое (МС), извините за прямоту, вообще можно работать... |
|
| Dmitry Grigorovich - odipbiogate.com
21 May 2000 11:15 AM |
Проблемы безопасности бывают везде, но в случае продуктов Microsoft все это осложняется:
1) слабой защитой самих продуктов
2) большим количеством пользователей с полным отсутстием каких-либо понятий о безопасности вообще
Результаты видны невооруженным взглядом - троянские кони I Love You!, Mellisa, которые выводят из строя системы с десятками тысяч компьютеров по всему миру.
В чем-то ситуация сроди той, когда появился виррус Моррисона, только существенная разница в том, что что-либо подобное Mellisa очень легко может написать студент третьего-четвертого курса. Да и распространиться этот вирус может гораздо шире и убытков принесет больше.
Соответственно вариантов действий против существующего положения вещей может быть два:
- Поднять качество продуктов Microsoft хотя бы в плане безопасности
- Поднять уровень грамотности пользователей в плане безопасности
Можно конечно ругать Microsoft и дурных пользователей, но от этого проблема только засветится больше, но не исчезнет ...
|
|
| pomidorych - pomidorychmail.ru
14 Oct 2000 6:54 PM |
"я был большим поклонником им решений и даже сдал MSCD"
если бы вы, батенька, его сдали, то сумели бы хотя б название грамотно написать :)
"MSCD" может быть разве что драйвером компакт-дисков от MS.
|
|
|
