Все новости от 11 июля 2002 г. Новый пробел в защите Outlook и IE
Датский эксперт по компьютерной безопасности предупредил пользователей приложений Microsoft Internet Explorer, Outlook и Outlook Express, что недавно обнаруженный пробел в защите этого ПО делает их системы уязвимыми для вредоносного кода, размещенного на веб-страницах или в сообщениях e-mail.
В распространенных в среду рекомендациях Тор Лархольм (Thor Larholm), эксперт по компьютерной безопасности и партнер компании PivX Solutions, специализирующейся на оценке рисков, предупреждает, что объекты HTML, встроенные в веб-страницы и электронные письма, могут содержать код, позволяющий атакующему исследовать содержимое cookie-файлов, читать документы и исполнять программы на компьютере жертвы.
Баг, называемый cross-domain scripting flaw, обнаружен 25 июня, и с тех пор информация о нем попала в несколько секьюрити-бюллетеней. Лархольм проинформировал Microsoft в тот же день, когда обнаружил баг.
«Так как он, по всей вероятности, получил довольно широкую огласку... я решил распространить эти рекомендации всего через две недели», — говорится в обращении Лархольма.
Microsoft утверждает, что Лархольм переоценивает серьезность ошибки. «Из его рекомендаций не следует, что эта проблема может привести к каким-то серьезным последствиям», — сказал представитель компании, добавив, что тем, кто посещает только надежные сайты, опасность не грозит, как и пользователям, установившим патчи для клиентских программ e-mail от Microsoft.
В то же время компания критикует Лархольма за слишком быстрое раскрытие информации о баге. «Жаль, что Тор решил опубликовать ее до того, как мы подготовим патч: это значительно повышает риск для пользователей», — сказал представитель компании.
Объем распространяемой информации о багах и то, как быстро консультанты предают ее гласности, стали предметом спора между производителями ПО и экспертами из секьюрити-компаний. Однако недавно исследователи высказали предположение, что корпоративные заказчики, пострадавшие от ляпсусов производителя ПО, на самом деле предпочитают, чтобы сведения о багах публиковались быстрее.
Хакеры и эксперты довольно часто находят пробелы в защите Microsoft Internet Explorer. В июне Microsoft выпустила патч для ошибки IE, которая позволяла атакующим исполнять код на компьютере жертвы, используя ссылки на устаревший протокол Gopher. А месяцем ранее компания выпустила патч для того же продукта, исправляющий шесть отдельных ошибок.
Чтобы устранить проблему, выявленную на этот раз, Лархольм рекомендует пользователям запретить ActiveX в меню параметров безопасности Internet Explorer или исполнять IE и Outlook в «ограниченном» режиме — по крайней мере до тех пор, пока Microsoft не выпустит патч.
Microsoft обещает сделать это в ближайшее время.
Предыдущие публикации:
В продолжение темы:
|
|
| miroh 11 Jul 2002 2:24 PM |
Это не кончится никогда. Вся система COM/ActiveX это большая дыра. И НЕТ тоже ничего нового судя по всему не принесет |
|
| eXOR - billgmicrosoft.com 11 Jul 2002 2:39 PM |
Сейчас получил билютень... дырень в SQL сервере еще одну... |
|
| Qrot 11 Jul 2002 9:28 PM |
ничего не скажу :)
|
|
| tstone - saldomail.ru 12 Jul 2002 7:46 AM |
Господи, ну когда же тебе все это надоест? :-)
|
|
| eXOR - billgmicrosoft.com 12 Jul 2002 10:06 AM |
2 tstone: Да мне уже надоело :-). |
|
| Yuri Abele - yuriabelehotmail.com 12 Jul 2002 10:45 AM |
To miroh: "И НЕТ тоже ничего нового судя по всему не принесет" Есть у меня не просто сомнения, а даже уверенность, что твоё знакомство с .NET дальше газетных статей уровня "Компьютерра" не идёт |
|
| kesko 12 Jul 2002 11:49 AM |
2 Yuri Abele: Конечно, принесет. Net делают совсем другие люди, гораздо более ответственные и серьезные. Их главная забота - благо потребителя и свое доброе имя. Технология работы компании Microsoft теперь построена совсем на других принципах, весь старый код стерт, а все разработчики ActiveX расстреляны на заднем дворе. Вам нечего беспокоиться! |
|
| glassy 12 Jul 2002 2:18 PM |
два ковбой |
|
| glassy 12 Jul 2002 2:23 PM |
> а все разработчики ActiveX расстреляны на заднем дворе лол |
|
| Ефрейтор 12 Jul 2002 2:32 PM |
2 Yuri Abele: Ве здорово и прекрасно пока Вы пишете что-нибудь, наподобие "Hello, world!". А шаг влево, шаг вправо, чуть посложнее и там практически все равно на чем писать. OLE 1, OLE 2, OCX. Где они сейчас. С приходом NET туда уйдут и COM с DCOM. Лет через 5 туда и NET добавится. Не проще ли один раз, но то и до, Win API изучить? >Это не кончится никогда. Вся система COM/ActiveX это большая дыра. И НЕТ тоже ничего нового судя по всему не принесет Когда MS скончается :)
|
|
| kesko 12 Jul 2002 3:55 PM |
2Ефрейтор: >Все здорово и прекрасно пока Вы пишете что-нибудь, наподобие "Hello, world!". А технологии MS все равно так быстро меняются, что большего и не нужно. Научился писать "Hello ..." и сразу переходишь к новой технологии.
|
|
| glassy 15 Jul 2002 3:14 AM |
2kesko: мой кент, работающий на итальянцев, так и сказал бы: мля, в натуре, базаришь! :) |
|
| miroh 15 Jul 2002 8:23 AM |
Если есть умные люди которые меня просветят как строится система безопасности в NET - буду очень благодарен. Сам пока занимаюсь созданием и сборкой web controls и всерьез проблемой безопасности не занимался. Но никаких namespace посвященных безопасности не видел. Получится опять двадцать пять любой скрипт сможет запустить любой компонент и устроить армагеддон. Ау знатоки!!! |
|
| PTO - kruchkovkgb.ru 15 Jul 2002 3:00 PM |
2 miroh: http://msdn.microsoft.com/library/default.asp?url=/library/e n-us/dnnetsec/html/netframesecover.asp тут типа про безопасность о которой вы спрашивали...
|
|
| Bosch - boschpisem.net 15 Jul 2002 6:41 PM |
2 eXOR и прочие программеры... Простите, конечно, ребята... Не примите каждый лично на свой счет, но! То, как вы пишете: "билютень" вместо "бюллетень" заставляет усомниться в том, что вам сможет помочь даже крутой, с ПОДСВЕТКОЙ ОРФОГРАФИИ, ВИМ... или чем вы там пользуетесь... И, Володя, не надо вот уже в который раз нести мне байду про "просто флейим в сети" и т.п. |
|
| miroh 16 Jul 2002 7:58 AM |
2PTO Спасибо - висело ведь перед мордой все время - не замечал :( |
|
| vIv 16 Jul 2002 11:17 AM |
2PTO: http://msdn.microsoft.com/library/shared/happyUrl/fnf_msdn. asp?Redirect="http://msdn.microsoft.com/404/default.asp" - 404 Not Found - это основной фрейм той фреймопомойки Вывод: секурность в .NET пока не обнаружена. Поиски продолжаются =) |
|
| PTO - kruchkovkgb.ru 16 Jul 2002 12:19 PM |
2 vlv: ну типа большинство народа читающих данные флеймы ознакомлены с принудительной вставкой пробелов движком данного форума в длинные строки... |
|
|