Новый пробел в защите Outlook и IE

Датский эксперт по компьютерной безопасности предупредил пользователей приложений Microsoft Internet Explorer, Outlook и Outlook Express, что недавно обнаруженный пробел в защите этого ПО делает их системы уязвимыми для вредоносного кода, размещенного на веб-страницах или в сообщениях e-mail.

В распространенных в среду рекомендациях Тор Лархольм (Thor Larholm), эксперт по компьютерной безопасности и партнер компании PivX Solutions, специализирующейся на оценке рисков, предупреждает, что объекты HTML, встроенные в веб-страницы и электронные письма, могут содержать код, позволяющий атакующему исследовать содержимое cookie-файлов, читать документы и исполнять программы на компьютере жертвы.

Баг, называемый cross-domain scripting flaw, обнаружен 25 июня, и с тех пор информация о нем попала в несколько секьюрити-бюллетеней. Лархольм проинформировал Microsoft в тот же день, когда обнаружил баг. «Так как он, по всей вероятности, получил довольно широкую огласку... я решил распространить эти рекомендации всего через две недели», — говорится в обращении Лархольма.

Microsoft утверждает, что Лархольм переоценивает серьезность ошибки. «Из его рекомендаций не следует, что эта проблема может привести к каким-то серьезным последствиям», — сказал представитель компании, добавив, что тем, кто посещает только надежные сайты, опасность не грозит, как и пользователям, установившим патчи для клиентских программ e-mail от Microsoft. В то же время компания критикует Лархольма за слишком быстрое раскрытие информации о баге. «Жаль, что Тор решил опубликовать ее до того, как мы подготовим патч: это значительно повышает риск для пользователей», — сказал представитель компании.

Объем распространяемой информации о багах и то, как быстро консультанты предают ее гласности, стали предметом спора между производителями ПО и экспертами из секьюрити-компаний. Однако недавно исследователи высказали предположение, что корпоративные заказчики, пострадавшие от ляпсусов производителя ПО, на самом деле предпочитают, чтобы сведения о багах публиковались быстрее.

Хакеры и эксперты довольно часто находят пробелы в защите Microsoft Internet Explorer. В июне Microsoft выпустила патч для ошибки IE, которая позволяла атакующим исполнять код на компьютере жертвы, используя ссылки на устаревший протокол Gopher. А месяцем ранее компания выпустила патч для того же продукта, исправляющий шесть отдельных ошибок.

Чтобы устранить проблему, выявленную на этот раз, Лархольм рекомендует пользователям запретить ActiveX в меню параметров безопасности Internet Explorer или исполнять IE и Outlook в «ограниченном» режиме — по крайней мере до тех пор, пока Microsoft не выпустит патч. Microsoft обещает сделать это в ближайшее время.

Предыдущие публикации:

2002-04-01		Microsoft залатала IE, но ее проблемы не закончились
2002-06-13		Дыра Gopher в ПО Microsoft углубляется

В продолжение темы:

2002-07-12

Дефект позволяет хакерам взломать замок для Outlook

Обсуждение и комментарии

	miroh 11 Jul 2002 2:24 PM
Это не кончится никогда. Вся система COM/ActiveX это большая дыра. И НЕТ тоже ничего нового судя по всему не принесет

	eXOR - billgmicrosoft.com 11 Jul 2002 2:39 PM
Сейчас получил билютень... дырень в SQL сервере еще одну...

	Qrot 11 Jul 2002 9:28 PM
ничего не скажу :)

	tstone - saldomail.ru 12 Jul 2002 7:46 AM
Господи, ну когда же тебе все это надоест? :-)

	eXOR - billgmicrosoft.com 12 Jul 2002 10:06 AM
2 tstone: Да мне уже надоело :-).

	Yuri Abele - yuriabelehotmail.com 12 Jul 2002 10:45 AM
To miroh: "И НЕТ тоже ничего нового судя по всему не принесет" Есть у меня не просто сомнения, а даже уверенность, что твоё знакомство с .NET дальше газетных статей уровня "Компьютерра" не идёт

	kesko 12 Jul 2002 11:49 AM
2 Yuri Abele: Конечно, принесет. Net делают совсем другие люди, гораздо более ответственные и серьезные. Их главная забота - благо потребителя и свое доброе имя. Технология работы компании Microsoft теперь построена совсем на других принципах, весь старый код стерт, а все разработчики ActiveX расстреляны на заднем дворе. Вам нечего беспокоиться!

	glassy 12 Jul 2002 2:18 PM
два ковбой

	glassy 12 Jul 2002 2:23 PM
> а все разработчики ActiveX расстреляны на заднем дворе лол

	Ефрейтор 12 Jul 2002 2:32 PM
2 Yuri Abele: Ве здорово и прекрасно пока Вы пишете что-нибудь, наподобие "Hello, world!". А шаг влево, шаг вправо, чуть посложнее и там практически все равно на чем писать. OLE 1, OLE 2, OCX. Где они сейчас. С приходом NET туда уйдут и COM с DCOM. Лет через 5 туда и NET добавится. Не проще ли один раз, но то и до, Win API изучить? >Это не кончится никогда. Вся система COM/ActiveX это большая дыра. И НЕТ тоже ничего нового судя по всему не принесет Когда MS скончается :)

	kesko 12 Jul 2002 3:55 PM
2Ефрейтор: >Все здорово и прекрасно пока Вы пишете что-нибудь, наподобие "Hello, world!". А технологии MS все равно так быстро меняются, что большего и не нужно. Научился писать "Hello ..." и сразу переходишь к новой технологии.

	glassy 15 Jul 2002 3:14 AM
2kesko: мой кент, работающий на итальянцев, так и сказал бы: мля, в натуре, базаришь! :)

	miroh 15 Jul 2002 8:23 AM
Если есть умные люди которые меня просветят как строится система безопасности в NET - буду очень благодарен. Сам пока занимаюсь созданием и сборкой web controls и всерьез проблемой безопасности не занимался. Но никаких namespace посвященных безопасности не видел. Получится опять двадцать пять любой скрипт сможет запустить любой компонент и устроить армагеддон. Ау знатоки!!!

	PTO - kruchkovkgb.ru 15 Jul 2002 3:00 PM
2 miroh: http://msdn.microsoft.com/library/default.asp?url=/library/e n-us/dnnetsec/html/netframesecover.asp тут типа про безопасность о которой вы спрашивали...

	Bosch - boschpisem.net 15 Jul 2002 6:41 PM
2 eXOR и прочие программеры... Простите, конечно, ребята... Не примите каждый лично на свой счет, но! То, как вы пишете: "билютень" вместо "бюллетень" заставляет усомниться в том, что вам сможет помочь даже крутой, с ПОДСВЕТКОЙ ОРФОГРАФИИ, ВИМ... или чем вы там пользуетесь... И, Володя, не надо вот уже в который раз нести мне байду про "просто флейим в сети" и т.п.

	miroh 16 Jul 2002 7:58 AM
2PTO Спасибо - висело ведь перед мордой все время - не замечал :(

	vIv 16 Jul 2002 11:17 AM
2PTO: http://msdn.microsoft.com/library/shared/happyUrl/fnf_msdn. asp?Redirect="http://msdn.microsoft.com/404/default.asp" - 404 Not Found - это основной фрейм той фреймопомойки Вывод: секурность в .NET пока не обнаружена. Поиски продолжаются =)

	PTO - kruchkovkgb.ru 16 Jul 2002 12:19 PM
2 vlv: ну типа большинство народа читающих данные флеймы ознакомлены с принудительной вставкой пробелов движком данного форума в длинные строки...

← июнь 2002

6 8 9 10 11 12 15 16 17

август 2002 →