Все новости от 21 ноября 2002 г.

Баг в ПО Microsoft затрагивает миллионы компьютеров

«Существуют миллионы систем и клиентов, которых это касается, — заявил исполнительный директор Foundstone Джордж Курц (George Kurtz). — Это гигантская угроза». Foundstone первой обнаружила ошибку и помогла Microsoft в создании поправки.

Баг присутствует в компоненте Windows Microsoft Data Access Component (MDAC), который позволяет веб-серверам и браузерам соединяться с онлайновыми базами данных. По словам Курца, он столь же распространен, как те уязвимости, которые использовали вирусы Code Red и Nimda. Риску подвергаются большинство из тех 4,1 млн сайтов, которыми управляет ПО Microsoft Internet Information Service (IIS), а также миллионы компьютеров под Windows 95, 98, Me и 2000. В соответствии со своей новой системой оценки уязвимостей, которая должна уменьшить число признанных критическими ошибок, чтобы системным администраторам было легче выделить наиболее важные пробелы в защите, Microsoft присвоила багу степень опасности critical. «Существует вероятность появления червя, использующего эту уязвимость, — сказала менеджер программы безопасности Microsoft Security Response Center Линн Тервордс (Lynn Terwoerds). — Она действительно критически опасна... Мы хотим, чтобы патч установили как можно быстрее».

Серверы, которые работают с последней версией ПО MDAC 2.7, не содержат этой уязвимости, как и те, системные администраторы которых используют средство защиты IIS Lockdown Tool. Так как MDAC не устанавливается по умолчанию, уязвимость, возможно, распространена все же не так широко, как утверждает Foundstone.

Риску подвержены и все Windows-компьютеры с Internet Explorer 5.01, 5.5 и 6, кроме тех, на которых установлена Windows ХР, так как в них тоже используется MDAC. Правда, атаку на такие системы, по словам Тервордс, организовать сложнее. Outlook Express 6 и Outlook 2000 в конфигурациях по умолчанию неуязвимы, а другие версии клиента e-mail можно обезопасить, установив Outlook E-mail Security Update.

Microsoft опубликовала информацию об ошибке и инструкции по защите ПК и веб-серверов на своем сайте TechNet.

Однако добиться того, чтобы все системные администраторы «пропатчили» свои системы, будет довольно сложно. Недавнее исследование показало, что в случае червя Linux Slapper за те семь недель, что прошли между обнаружением уязвимости и появлением в интернете червя Slapper, заплатки установили всего около 40% администраторов. После начала распространения червя началась новая волна «латания», которая привела к закрытию для червя еще 25-30% систем. Примерно треть компьютеров так и остались уязвимыми.

Хотя в интернете пока не замечены червь или атакующая программа, использующие обнаруженную уязвимость, их появление лишь дело времени, предупреждает Курц из Foundstone. Он призывает системных администраторов немедленно заняться укреплением защиты: «Нужно позаботиться об этом заранее, не дожидаясь начала всеобщего бедствия». 

 Предыдущие публикации:

Обсуждение и комментарии

	Joe 21 Nov 2002 1:55 PM
обычное дело. очередной компонент лезет куда не просят и дает кому попало. сетевая ос для корпоративных пользователей:)
	none 21 Nov 2002 6:20 PM
не знаю кто как, а я не удивлен :))
	Qrot 21 Nov 2002 10:50 PM
а ты на рассылку CERT подпишись, совсем удивляться отучишься :)
	Наблюдатель 22 Nov 2002 9:08 AM
А самое мерзкое, что пакет исправления не до конца лечит эту дырку. ... "However, the patch does not protect you completely, for the following reason. When Microsoft releases fixed components, Microsoft's programmers often enable what they call the kill bit. The kill bit is a setting that prevents Internet Explorer from using that component again, even if the component is on your system. Setting the kill bit ensures that a hacker cannot re-introduce the vulnerable component to your machine through a Web page. In this case, Microsoft did not set the kill bit because many applications and Web pages use the vulnerable component. If Microsoft were to set the kill bit for this component, many Web pages would stop working. Since the kill bit is not set, a hacker could craft a malicious Web page that re-installs the vulnerable component and then exploits it to gain control of our system even if you've previously installed the patch. Since the vulnerable component is still a valid, signed Microsoft component, on most systems it would install without prompting you." ...
	glassy 22 Nov 2002 11:29 AM
Долгожданная новость. Теперь давайте посчитаем число подобных MDAC компонентов и дружно назовем платформу win32 дуршлаком! :)
	FreeSTYLE - FreeSTYLEpakypc.com 22 Nov 2002 8:48 PM
Microsoft ))) Bez kommentariev ))))
	Lusy 23 Nov 2002 11:03 AM
Ничего не поняла, но все равно дух захватывает!
	Dr_Zuzumbo 23 Nov 2002 12:41 PM
Lusy, Все очень просто: марш к копьютеру латать очередную дыру с сайта МС. Каждый раз на такое латание уходит по 3 часа рабочег времени (10 РС , кабель 2 у нас мегабита) А что делать тем, у кого нет таких скоростей?!
	Qrot 23 Nov 2002 2:16 PM
Dr_Zuzumbo: 3 часа?!! сэр, Вы упали в моих глазах :))
	Ron - rodionlenta.ru 23 Nov 2002 3:23 PM
2 Наблюдатель. Если речь идёт о MDAC, то врят ли его можно експлойтом откатить на раннюю версию. MDAC это такая штука, её если раз обновил, то потом старый обратно вернёшь только с гиммором великим, даже если самому надо будет. Ставится намертво :-)
	Dr_Zuzumbo 23 Nov 2002 4:49 PM
Qrot, Попробовалбы побыстрее, когда надо еще и работу делать, а в канторе 10 PC + сервер :)
	Ron - rodionlenta.ru 23 Nov 2002 5:50 PM
"10 PC + сервер". Вот это да. Просто сумасшедшее количество. У меня аж челюсть отвисла 8-))
	Dr_Zuzumbo 24 Nov 2002 12:56 AM
Наблюдатель, А какой ссылкой я пользуюсь, как вы думали ?! :) В контора Архитектурная и веду большой проект используя Microstation c проект банком и отрывание каждой станций, чтобы работа над проектом не прерывалась, требует немало времени.
	Blind 24 Nov 2002 2:51 AM
2Ron. Дело в том, что COM+ компоненты не обновляются. Новые ставятся в дополнение к старым. Когда приложение запрашивает функцию, которая есть в новом компоненте, то используется новый. Но если приложение прекомпилировано со старым компонентом, то он и будет использоваться. Просто убить старый MDAC нельзя. Новость действительно неприятная, но не смертельная. Надо будет посмотреть права доступа на MDAC компоненты.
	Ron - rodionlenta.ru 24 Nov 2002 2:10 PM
2 Blind : Всё смешалось в Датском королевстве... :-) MDAC никакого отношения к COM+ не имеет. Он отлично живёт и под Win9x где COM+ и быть не может, и под NT 4.0, где COM+ (ака MTS) ставится только опционально в виде дополнительного пакета. А насчёт разных версий - ни COM ни COM+ сами по себе не сохраняют старых версий при установке новых. Это просто требование такое, что новая вессия COM-сервера, если заменяет старую, то всегда должна поддерживать все старые СLSID-ы и интерфейсы. Сохранять прежнюю реализацию при этом вовсе незачем.
	Наблюдатель 24 Nov 2002 10:19 PM
2Dr_Zuzumbo Вы все-таки сходите по ссылке. Судя по вашей реакции, вы даже не удосужились это сделать. Насколько я знаю проектбанк, отключение/подключение станций в проекте не составляет сложности и затрат времени. Я работал с продуктами Бентлей больше 3-х лет и хорошо знаю все их особенности.
	DemonZla 25 Nov 2002 1:22 PM
Опять Microsoft!!! Опять этот грёбанный Microsoft!!! Что не сделают - всё с ошибками, да ещё с неисправимыми!!! Нет! Всё! Всех в Linux пересажу!!!
	Долой игры! 27 Nov 2002 8:42 AM
Переведешь... И уволять тебя через 10 минут после этого. И заставят винду назад вертать.
	quadic 27 Nov 2002 3:22 PM
Почитайте http://www.wininformant.com/Articles/Index.cfm?ArticleID=274 28
	glassy 28 Nov 2002 1:38 PM
2quadic: вроде взрослый человек, а такую чепуху читаешь :) Про скорость апдейтов явно глупости, а про всякий там софт -- так на то он и из бета-версий не вылезает, чтобы показать незавершенность и наличие ошибок.
	Skull - sibskullmail.ru 29 Nov 2002 5:10 AM
Народ! Есть где-нибудь описание формата WAB - как для 5, так и для 6 OE?
	Долой игры! 30 Nov 2002 6:36 AM
Не спеши пересаживать, лучше вот то почитай - http://www.compulenta.ru/2002/11/29/35903