Ошибки в IE оставляют системы беззащитными

Израильская компания-разработчик веб-приложений предупредила пользователей Internet Explorer об обнаруженных ею в этой программе девяти ошибках, связанных с безопасностью. Злоумышленники могут использовать их для доступа к файлам на компьютере жертвы.

Во вторник компания GreyMagic Software сообщила, что уязвимости — восемь из которых она считает критическими — могут использоваться при помощи специальной веб-страницы, исполняющей программы злоумышленников на компьютере жертвы при посещении веб-сайта. «Используя эти пробелы в сочетании с другими известными ошибками, можно тайно записать файлы на локальный диск пользователя, что приведет к полному овладению клиентским компьютером», — говорит директор по исследованиям и разработкам GreyMagic Ли Дэгон (Lee Dagon).

Кроме того, что сетевые вандалы могут украсть частные документы, ошибки позволяют хакерам копировать информацию из буфера clipboard, исполнять произвольные программы и обманывать пользователей IE, подделывая популярные веб-сайты, говорится в предупреждении. GreyMagic утверждает, что ошибки присутствуют в Internet Explorer 5.5 и 6, но последние сервисные пакеты к обеим программам устраняют их.

Ошибки проявляются в том, как Internet Explorer кэширует веб-объекты. GreyMagic обнаружила их в процессе исследования трех разных аспектов объектной модели Internet Explorer в начале этого месяца. «С каждым разом мы находили все новые уязвимости», — говорит Дэгон.

Семь из обнаруженных ошибок можно использовать для получения полного контроля над компьютером жертвы, еще одна делает загружаемый в данный момент документ читабельным, а последняя ошибка позволяет считывать и записывать содержимое clipboard. «Атакующему может потребоваться знание имени и точного пути к файлу, — добавил Дэгон, подчеркнув, что уязвимости не позволяют вандалам просматривать каталог файлов на машине жертвы. — Однако в Windows есть несколько важных файлов, расположенных в относительно постоянных местах, содержание которых можно использовать во зло». Например, файл паролей Windows находится в одном и том же месте во всех Windows-компьютерах, и выявленные ошибки позволяют скопировать его.

Установка Service Pack 2 для Internet Explorer 5.5 и Service Pack 1 для Internet Explorer 6 устраняет обнаруженные ошибки, утверждает компания. Сервисные пакеты для обеих версий IE можно загрузить со страницы Microsoft Windows Update .

Публиковать сведения об ошибках некорректно?
GreyMagic Software опубликовала информацию об обнаруженных ошибках одновременно с передачей ее в Microsoft, объясняя это тем, что в прошлом «заблаговременное оповещение Microsoft и ожидание, пока они выпустят патч и сообщат об ошибках пользователям, оказалось... непродуктивным». Microsoft получила информацию об ошибках только во вторник, поэтому не смогла подтвердить ее справедливость. Однако результаты тестирования и демонстрационный код, предоставленные GreyMagic Software, как будто доказывают, что ошибки действительно существуют.

Отказ израильской компании от предварительного оповещения привел софтверного гиганта в ярость. «Мы обеспокоены способом публикации этого отчета, — говорится в заявлении представителя Microsoft, поступившем в CNET News.com по электронной почте. — Такой подход подвергает риску пользователей компьютеров — или по крайней мере может вызвать ненужное замешательство и опасения».

Больше года Microsoft старается положить конец огласке информации об уязвимостях, называя ее безответственной и спонсируя организацию группы по стандартизации порядка публикации такой информации. В прошлом производители ПО не проявляли должной ответственности в вопросах безопасности, но такое положение меняется. И все же большинство экспертов уверены, что публикация информации об ошибках — лучший способ предупредить пользователей. Правда, те же эксперты все лучше понимают, что разработчику нужно дать разумное время, чтобы он успел предложить поправку. Однако продолжительность этого разумного, по их понятиям, времени колеблется от нескольких дней до нескольких месяцев.

По словам Дэгона, раньше, когда компания передавала свои рекомендации Microsoft, соответствующие поправки появлялись через три месяца, а то и через полгода. И GreyMagic потеряла терпение: «Microsoft тянет с решением даже самых простых проблем безопасности, подвергая пользователей риску на месяцы, вместо того чтобы предложить им временные меры».

Но не только Microsoft выражает обеспокоенность такими публикациями, какую позволила себе GreyMagic. Сообщество open-source тоже было не в восторге, когда компания Internet Security Systems опубликовала предупреждение по поводу серьезной ошибки в веб-сервере Apache всего через несколько часов после того, как поставила об этом в известность группу разработчиков. Это произвело эффект разорвавшейся бомбы.

Предыдущие публикации:

2001-10-22		Microsoft: «Перестаньте подсказывать!»
2001-11-29		Linux-серверы в опасности из-за «серьезной» ошибки

Обсуждение и комментарии

	Qrot 23 Oct 2002 2:01 PM
я что то не пойму - ошибки нашли, но они уже исправлены?

	DemonZla 23 Oct 2002 2:44 PM
Ага, это их хакеры исправили, а то микрософта разве дозовёшься :))

	Qrot 23 Oct 2002 3:43 PM
DemonZla: статьи иногда надо читать - там написано, что уже исправлено в IE6-SP1 & IE5.5-SP2

	chu1 - alexchud1chat.ru 24 Oct 2002 8:16 AM
эту уже международный вид спорта - поиск дыр в майкрософтовском софте. интересно, когда его включат в олимпийскую программу? ;)

	Yuri Abele 25 Oct 2002 11:07 AM
To DemonZla (и некоторые другие) Быстренько возбудились от фразы "Bug у Microsoft", проананировали и занялись делом дальше. То, что публиковать ошибки не дав производителю время отреагировать это подло и то, что ошибки уже исправлены уже не играет никакой роли - удовалетворить-то свою похоть всё равно уже удалось. Не так ли?

	glassy 25 Oct 2002 12:11 PM
именно так :) Только не "проананировали", а "ухмыльнулись беззлобной улыбкой"

	Yuri Abele 25 Oct 2002 12:29 PM
Ok! Впредь буду называть анонизм медитацией ;-)

	glassy 25 Oct 2002 2:10 PM
Еще один, которому спеллчекер в Експлорер встроить надо :)

	Yuri Abele 25 Oct 2002 2:43 PM
Юноша, Вы всегда такой смелый или пока недоступны? Типичный пример поведения, когда нечего сказать...

	PTO - kruchkovkgb.ru 25 Oct 2002 3:04 PM
2 Yuri Abele: не медитацией, а мастурбацией :)

	Skull - sibskullmail.ru 26 Oct 2002 9:21 AM
2Yuri Abele: Да из нас все уже давно забыли, что такое MS с его дырами... :) Это только форточников возбуждать может. :)))

	glassy 28 Oct 2002 6:34 AM
2 Yuri Abele: За "проананировали" можно и в морду получить.

	prodigy_ - prodigy_mail.ru 28 Oct 2002 1:53 PM
2 Skull: Че, правда забыли? :-) Тогда че ж вы тут занимаетесь обсасыванием (пардон, конечно за такой термин, я просто пытаюсь попасть в тон данной дискусии :-)) новостей об этих багах чуть ли не по графику 24/7? :-)))

	prodigy_ - prodigy_mail.ru 28 Oct 2002 2:01 PM
(Вдогонку, грустно, оффтопно) Эх, где старые добрые дискусы по поводу того, можно ли качать mp3 и варез из Инета или низзя... Вот где я бы поучаствовал. Всяких ламеров, стощих на защите копирайтов попрессовал бы от души. А то не прет меня обсуждать форточки vs. пингвины. Ну вот не прет и все тут...

	glassy 28 Oct 2002 2:37 PM
2profigy: ну покажи, где мы тут обсасываем баги?

	Skull - sibskullmail.ru 29 Oct 2002 5:05 AM
2prodigy_: остыньте, сэр! Действительные линуксоиды, а не студенты, забили на эти баги. Мне, кстати, наезды на баги MS уже совершенно не интересны. К тому же ваша любовь к "mp3 и варез из Инета" говорит о многом. В основном о халявщицкой психологии. Ибо нормальный человек качает ogg vorbis и продукты OSS. :)))

	glassy 29 Oct 2002 6:43 AM
2prodigy_: началось :) Кстати, я совсем не против платить за контент. Типа подписка на большую библиотеку, например, фильмов. Или тот же интренет-сервисы. То есть браузеры (вплоть до осей) должны быть бесплатными, а диал-апы платными. Таким образом, я не хочу покупать ни ПО, ни игры как таковые. Я бы их заказывал по мере надоедания, а потом избавлялся. Это я понял (что готов платить за игрушки как в библиотеке) вчера вечером, идея пока неотесанная.

	prodigy_ - prodigy_mail.ru 29 Oct 2002 12:11 PM
2 Skull: "Халявщицкая психология" - это всего лишь еще один из идиотских терминов, придуманных жирными котами, набивающими свой карман за счет таких как ты. :-) И они могут торжестовать - ты как полный урод, не только не понимаешь, что на твоей тупости наживаются, но еще и всерьез повторяешь ту чушь, которой тебе промыли мозги. :-))) Нормальный человек понимает: "Information must be free". Частная собственность на информацию - это точно такая же форма неявной диктатуры, как частная собственность на любой другой общественный ресурс. Вот если бы воздух вдруг стал принадлежть кому-то (неважно на каком основаниии - основания можно придумать под что угодно) и тебе пришлось бы платить за пользование им? Чтобы ты тогда сказал?

	prodigy_ - prodigy_mail.ru 29 Oct 2002 12:20 PM
2 glassy: Платить за контент можно, если речь идет об услуге которая предоставляется лично тебе. Напрмер: я не просто нахожу качаю mp3, а заказываю какие мне нужны и с каким уровнем компрессии, а мне их находят (если они уже есть) либо тут же на месте делают. Вот за это можно заплатить. Когда же мне говорят о покупке альбома - это просто смехотворно. Группа один раз поработала в студии и после этого компания звукозаписи снимает с этого сливки в течении хоть ста лет. Естественно это мошенничество. Причем от своей узаконенности оно разумеется не перестает быть мошенничеством. Ясное дело, что ни один человек понимающий это альбом никогда не купит из принципа. Причем наличие или отсутствие денег здесь не при чем. Достаточно чувства собственного достоинства - нельзя же позволять, чтобы тебя так нагло надували.

	glassy 29 Oct 2002 2:05 PM
Я это к чему начал? В детстве у всех были игрушки типа спектрума и нинтендо. В нашем новом веке уже создан и хорошо используется эмулятор для тех игр, но, как всегда, копирайт холдеры взяли и запретили скачивание ROM-ов этих игрушек. Да мне они нафиг не сдались, просто ради ностальгии что-ли... Да и потом, этих игр тысячи, если не десятки тысяч, не буду ведь я их покупать ради ностальгии. И потом, это ведь совершенно дурдом -- продавать игры после смерти их платформ да и самих фирм, их сделавших. Поэтому я хочу иметь абонемент. "я не просто нахожу качаю mp3" Рано или поздно он тебе надоест, и захочется новых. Так почему же нажимать на отсутствие прав на тиражирование, если по идее я эти записи все равно "беру в аренду". Учитывая тенденции можно предположить, что в будущем, лет так через 5-10 артисты уже не смогут делать деньги на выпуске пластинок, как они сейчас не имеют (не учитывая маркетинг и промоушен) навара с видеоклипов, вещаемых по телевидению. Так вот, за то, чтобы увидеть некоторые клипы, я действительно готов заплатить (в бытность моего пребывания в Аргентине там имелся бесчеловечный канал с заказом клипов по телефону и последующим высыланием счета как за м/г). И вобщем схема такая -- группа просто отдает свое твоение к-либо медиа-библиотеке и получает хорошие проценты от заказов. Простой расчет показывает, что я могу пару раз в жизни заказать к-либо альбом или фильм за баксов 5 (разумеется, фильм редкий, не попсовый, типа 17-ти мгновений весны, который хочу посмотреть но не имею ни времени ни желания подчиняться ТВ-программе). То есть я много раз буду пользоваться сервисами, и это сможет стать заменой средств, которые я трачу на кусочки пластика, называемые DVD.

	prodigy_ - prodigy_mail.ru 29 Oct 2002 2:45 PM
2 glassy: video on demand, это не такая уж и новая концепция. Но это все пока в стадии разработки. Проекты есть, но их сдерживает недостаточная распространенность широкополосного доступа. А вообще идея интересная, но есть два условия ее успеха: 1) Гарантированно высокое качество связи (картинка должна быть на уровне DVD). 2) Цена просмотра фильма (включая оплату за траффик) должна быть сравнима с ценой болванки, на которую он записывается. Вот на этих условиях это будет интересно. Но с музыкой все немного не так. Одна и та же песня как правило слушается много больше раз, чем просмаривается фильм. То есть за audio on demand цена должна быть значительно ниже. С софтом все еще сложнее. Во-первых, есть пакеты, которыми пользуешься постоянно и их всегда будет проще приобрести и держать у себя. Во-вторых, прогу которая стоит у тебя ты можешь ковырять сколько душе угодно, наплевав на ЕУЛУ. Если же прога стоит где-то на серваке разработчика и ты пользуешься ей по принципу on demand - это уже совсем другое дело. Конечно все соображения на этот счет в коммент на форуме не уместить - тут можно написать отдельную статью. Просто речь о том, что концепция on demand тоже имеет определенные ограничения.

	Skull - sibskullmail.ru 30 Oct 2002 5:20 AM
2prodigy_: что, задело? Не укаладывается в маленькой голове лемминга понятия о свободе. Халява - да, но не свобода, которая налагает ответственность. Скучно с такими, как вы. Для справки - на моём труде никто не жирует.

	prodigy_ - prodigy_mail.ru 30 Oct 2002 2:48 PM
2 Skull: нисколько не задело. :-) Сентенции насчет головы мы опустим как не имеющие отношения к теме. :-))) Но вот то, что у тебя неверное понятие о том, что такое ответственность - это факт. Ответственность в том и состоит, чтобы четко осознавать что реально происходит (и влиять на это), а не просто повторять чужие слова, как делаешь ты. Да кстати, я не говорил что на твоем "труде" кто-то наживается. Но я говорил и еще раз повторю, что наживаются на искаженных представлениях, вбитых в твой тщательно промытый мозг. P.S. Если так скучно, то какого хрена ты тут делаешь?

	Skull - sibskullmail.ru 1 Nov 2002 5:30 AM
2prodigy_: я не повторяю чужие слова. Каждый день я активно участвую в жизни OSS. Можно по имени и email посмотреть объём переводов KDE. Каждый, кто получает блага, должен внести соответствующий вклад. Ответственность и есть свойство, вытекаемое из этого принципа, для морального самоограничения работы на общественное благо. Вообще рекомендую почитать классиков, а не MSDN. Смотрите внимательнее мою фразу "Скучно с такими, как вы" и после этого попробуйте обобщить. Не получается? Кстати, интересно увидеть, какие представления у меня искажены, если действует принцип: мне дали блага, я их развил. Хорошо и другим и мне. Или этот принцип в голове, промытой пропагандой MS и рекламой проприетарного софта, не укладывается ?

	prodigy_ - prodigy_mail.ru 2 Nov 2002 11:36 PM
2 Skull: Ну а если я не программер? Не всем же быть программерами. Против OSS я ничего не имею, но развивать что-то можно только будучи специалистом. Я вот например занимаюсь не программингом, а сетями.

	Skull - sibskullmail.ru 4 Nov 2002 7:39 AM
2prodigy_: критерии специалиста очень размытые. Тем не менее я согласен, что сапоги должен тачать сапожник. Поэтому я занимаюсь локализацией и не лезу в кодинг. :)

← сентябрь 2002

17 18 21 22 23 24 25 28 29

ноябрь 2002 →