Все новости от 11 марта 2004 г.

Дефект в Outlook опаснее, чем предполагалось

Ошибка в Outlook 2002, о которой было впервые объявлено во вторник, когда Microsoft выпустила патч, позволяет злоумышленнику использовать специальный веб-сайт для загрузки и исполнения программ в ПК жертв. Выпустив поправку, Microsoft сообщила, что нападение возможно только в том случае, если в качестве начальной страницы по умолчанию в Outlook 2002 выбрана Outlook Today. Однако финский специалист по компьютерной безопасности Юко Пиноннен, обнаруживший ошибку, предупредил компанию, что на самом деле возможности для атаки шире, и она с этим согласилась.

«Уже распространив бюллетень, мы узнали, что злоумышленник может обойти ограничение Outlook Today», — сказал менеджер программы Microsoft Security Response Center Стивен Тулуз. Он подчеркнул, что выпущенная во вторник поправка предотвращает любую атаку, несмотря на то что дыра оказалась шире, чем думали.

Microsoft в третий раз за последние полтора года повышает уровень опасности пробелов в защите своего ПО. В декабре 2002 года она повысила статус двух уязвимостей со «среднего» до «критического», когда обнаружившие их специалисты выразили сомнение по поводу первоначальной классификации Microsoft.

Пиноннен говорит, что Microsoft не оповестила его, когда планируется выпустить патч, и не сообщила, насколько серьезной она посчитала уязвимость. «Я не знал, что проблему планируется обнародовать в этом месяце», — сказал он, добавив, что если бы его известили, он провел бы дополнительные исследования по смягчающим факторам, указанным Microsoft.

В среду Пиноннен предупредил, что уязвимость может использоваться злоумышленниками для распространения вирусов через сообщения email, отправленные пользователям Outlook 2002.

Для выпуска поправки Microsoft потребовалось больше семи месяцев — такая задержка подчеркивает, что софтверный гигант ставит качество своих обновлений выше оперативности. На предположение некоторых критиков о возможности выпускать патчи быстрее, Тулуз ответил, что главной заботой компании является всестороннее изучение степени влияния ошибок и исключение проблем с поправками. «Мы всегда стараемся понять, насколько широко будет влияние (дефекта) и предусмотреть в обновлении любые возможности», — сказал он.

Обновление для Outlook 2002 можно загрузить через Microsoft Download Center или установив Service Pack 3 для Office XP, который вышел в среду. 

 Предыдущие публикации:

Обсуждение и комментарии

	Троль 11 Mar 2004 11:30 AM
7 месяцев! мля.... за это время мозилла выпускает 2-3 новых версии со 10 новыми глюками и 10-кой заткнутых старых.
	Skull - sibskullmail.ru 11 Mar 2004 12:55 PM
Вот-вот! Статистика багтрака KDE: 15775 bugs opened, 14806 bugs closed in the last 365 days (5636 wishes opened, 3671 wishes closed) :))
	добрый 11 Mar 2004 1:10 PM
>>Мы всегда стараемся понять, насколько широко будет влияние (дефекта) и предусмотреть в обновлении любые возможности», Да-да. Продуманная архитектура творит чудеса.
	Сергей Середа - serge_seredahotmail.com 11 Mar 2004 1:24 PM
А мне говорили, что статья Ричарда Форно "Микрософт - угроза национальной безопасности" за 2000 год безнадёжно устарела... Нет, от принципов так просто не отказываются! ;-) С уважением, Сергей Середа Движение "ПОтребитель" http://consumer.nm.ru http://cie.ase.md/~sereda
	Alexander S. 11 Mar 2004 7:35 PM
2 Сергей Середа, Что-то я не слышал от вас телодвижений по поводу каждого из патчей выпущенных уже в этом году для единственно верной ОС: https://rhn.redhat.com/errata/rh9-errata.html Среди них есть весьма неприятные, в том числе и для одного из почтовых клиентов. Вот как эту избирательность объяснить, а?
	Сергей Середа - serge_seredahotmail.com 11 Mar 2004 11:05 PM
2 Alexander S.: А если Вы либо самостоятельно наклепаете статейку или укажете на уже готовую, в которой доказательно написано, что RedHat - "угроза национальной безопасности" с перечислением багов, патчей, возможных последствий дыр и т.п., я с огромным удовольствием опубликую её на "ПОтребителе". Честно-пречестно. (На русском языке статью.) А самому этим заниматься пока не получается по времени. С уважением, Сергей Середа Движение "ПОтребитель" http://consumer.nm.ru http://cie.ase.md/~sereda
	Alexander S. 12 Mar 2004 12:56 AM
2 Сергей Середа, Я не считаю ни Микрософт ни Red Hat угрозой национальной безопасности только потому, что каждая из этих компаний способна нас удивить количеством "багов, патчей, возможных последствий дыр и т.п." Поэтому я вполне объективен. Вашу же избирательность я понять не в состоянии. Но если вы уж так просите, вот разносортный набор линков для пополнения ваших зниий (извините- на английском): http://searchenterpriselinux.techtarget.com/originalContent /0,289142,sid39_gci920359,00.html http://searchenterpriselinux.techtarget.com/originalContent /0,289142,sid39_gci895515,00.html http://www.informationweek.com/story/IWK20030124S0013/1 http://www.eweek.com/article2/0,3959,1234349,00.asp http://www.globetechnology.com/servlet/story/RTGAM.20030911 .gtlinuxsep11/BNStory/Technology/ http://www.newsfactor.com/story.xhtml?story_title=Linux_Sec urity_on_the_Ropes&story_id=23156&category=netsecurity http://www.catb.org/~esr/writings/cups-horror.html http://zdnet.com.com/2100-1107_2-5168023.html?tag=zdfd.news feed Для общего вашего развития включил не только статьи про безопасность, но и про ОпенСорс в целом- и не только негативные, но и позитивные- как пример взвешенного подхода. Часть линков на статью прошлых годов, но старее 2000 года вроде не было- так что поновее ваше статьи. Кстати, в обмен на мои ссылочки- дайте ссылочку на ту вашу статью об ужасном Микрософте от которого трындец Америке произойдёт вот вот, написанную 4 года назад.:)
	Сергей Середа - serge_seredahotmail.com 12 Mar 2004 11:03 AM
2 Alexander S.: Спасибо, повышать образовательный уровень никогда не стыдно. Правда, я и так имею представление об Open Source, а о дырах можно почитать на www.neworder.box.sk . (А вагон ссылок по теме мне и Google дать может за десяток секунд - просто у меня нет времени на написание подобной статьи. Месяцок точно пришлось бы убить на анализ, систематизацию и т.п. Это если писать серьёзню статью, а не просто трёп.) А избирательность... Мы публикуем готовые статьи. Так уж получается, что большинство статей по нашей тематике (защита пользователей ПО) основывается на метании банановой кожуры в сторону Микрософт. Если Вы посмотрите на мои собственные статьи, вы нигде не увидите накатов на Микрософт просто за то, что это - Микрософт. Кстати, в одной из моих статей есть ссылка на статью, в которой Линукс показывается совсем не с "общепринятой" точки зрения (даже из названия это видно :-): "Хроника пикирующего пингвина, или по-пластунски к звёздам" http://www.os2.spb.ru/os2about/per_anus_ad_astra.html === Кстати, в обмен на мои ссылочки- дайте ссылочку на ту вашу статью об ужасном Микрософте от которого трындец Америке произойдёт вот вот, написанную 4 года назад.:) === Извольте: http://consumer.nm.ru/msdanger.htm Правда, я не разделяю позиции Форно на 100% (как минимум в части того, что "трындец Америке" - это плохо :-). Да и причины "плохого поведения" корпорации я вижу глубже, но если читать материал, думая и отсеивая ненужное, почитать полезно. С уважением, Сергей Середа Движение "ПОтребитель" http://consumer.nm.ru http://cie.ase.md/~sereda
	Yaris - yarislist.ru 12 Mar 2004 1:49 PM
А нельзя ли в другом месте найти статью "Хроника пикирующего пингвина, или по-пластунски к звёздам", а то по http://www.os2.spb.ru/os2about/per_anus_ad_astra.html почему-то пусто.
	Сергей Середа - serge_seredahotmail.com 12 Mar 2004 3:02 PM
http://os2.in.ru/os2about/per_anus_ad_astra.html Переехали, наверно. Use Google!
	Sun-ch 12 Mar 2004 3:02 PM
2Yaris http://os2.in.ru/os2about/per_anus_ad_astra.html "Да этот ламер не знает, что такое nice и хедеры!" Ха-ха-ха.
	Yaris - yarislist.ru 12 Mar 2004 5:10 PM
2Sun-ch Просвети, о великий гуру!
	Alexander S. 12 Mar 2004 5:14 PM
Ах, этот Richard Forno (http://www.infowarrior.org/articles.html)! Что же вы сразу не сказали? М-да, очень объективный господин. >Так уж получается, что большинство статей по нашей тематике (защита пользователей ПО) основывается на метании банановой кожуры в сторону Микрософт. Я бы не смог сказать лучше.:) --- Кстати, напрасно вы так по-барски относитесь к окружающим. Список ссылок, что я вам дал, не набраны из Гугля за 15 секунд, а представляют часть набора ссылок отобранных мною в течение многих месяцев. Это достаточно интересные статьи, или приводящие неожиданные факты. Ну хорошо, раз вы такой занятый господин, что на ZDnet.RU у вас время есть- а на чтение статей нет, то вот вам всего одна ссылочка из моего списка: http://www.itnews.com.au/storycontent.asp?ID=1&Art_ID=18224 и даже туда не надо заглядывать, вот цитата из неё ради которой я и сохранил ссылочку в своём списке: [Red Hat CTO Michael Tiemann] ... said that in a security test on a previous version of Red Hat Linux in 1999, it took only 45 seconds for a hacker to break into the system. А вот и перевод: Михаил Тиеман, Главный Инженер фирмы Red Hat, заявил, что в 1999 году хакеру потребовалось только 45 секунд чтобы взломать компьютер с Red Hat Linux. --- Что там г-н Форно говорил в 2000 году про безопасность программных продуктов фирмы Микрософт? Так что запасайтесь банановой кожурой, господин Середа, грядёт Линукс!
	Sun-ch 12 Mar 2004 5:30 PM
2Yaris Статья не нужна. Уже никто не помнит про RedHat 7.
	Сергей Середа - serge_seredahotmail.com 12 Mar 2004 7:03 PM
2 Alexander S.: Да, это тот Форно. Объективный или нет - решать читателям, но специалист он признанный. === Ну хорошо, раз вы такой занятый господин, что на ZDnet.RU у вас время есть- а на чтение статей нет, то вот вам всего одна ссылочка из моего списка: === Я обязательно просомотрю все статьи по данным Вами ссылкам. А на ZDNet действительно время находится, в отличие от времени на статью (я веду очень много лабораторных работ - чем-то приличным не займёшься, а на форум времени хватает). А насчёт Линуксов, Виндовсов, Полуосей и т.п. могу сказать, что мне, по большому счёту плевать, что там "грядёт", а что нет. Мои цели - защита прав пользователей ПО, а не интересов производителей той или иной ОС. С уважением, Сергей Середа Движение "ПОтребитель" http://consumer.nm.ru http://cie.ase.md/~sereda
	Alexander S. 12 Mar 2004 7:42 PM
>Да, это тот Форно. Объективный или нет - решать читателям, но специалист он признанный. Безусловно он известная личность. Цитируемая. В том числе и вами. Однако, указывая мне, как потребителю, на недостатки определённого продукта и ссылаясь при этом на эксперта- не следует ли указать субъективность эксперта (если она есть), и привести альтернативное мнение? Кроме того, учитывая, что для пользователя компьютера на основе процессора x86 существуют на сегодня только две заметные ОС, не следовало ли бы для равновесия привести разные мнения насчёт второй ОС тоже? А то я, как простой потребитель, прочту порекомендованную вами статью Форно, ужаснусь, снесу Окна, поставлю какой-нибудь Линукс и что- тут же защита моих прав пользователя ПО вашим обществом закончилась?
	Сергей Середа - serge_seredahotmail.com 12 Mar 2004 8:37 PM
2 Alexander S.: Я планировал (для той самой "объективности") разместить статью Павла Протасова (если он согласится, ясное дело) "Снизу" http://www.computerra.ru/offline/2003/494/27208/ Что скажете на это? На сайте, есть, кстати, и "Справочник потребителя" Антона Серго и моя статья насчёт того, как потребителям относиться к системам программной защиты и другие статьи. Так что Вы не правы, что "защита ваших прав пользователя ПО нашим обществом закончилась" на статье Форно. P.S. Агрумент в пользу OpenSource: при покупке коммерческих программ потребитель платит приличные деньги за некачественное ПО и не получает никаких гарантий от производителя. Пользуясь "свободным ПО" пользователь получает то же некачественное ПО без гарантий, но хотя бы бесплатно. Выигрыш, конечно, сомнительный, но "на безрыбье...". С уважением, Сергей Середа Движение "ПОтребитель" http://consumer.nm.ru http://cie.ase.md/~sereda
	Alexander S. 13 Mar 2004 12:03 AM
>Снизу" http://www.computerra.ru/offline/2003/494/27208/ Что скажете на это? Статья высказывает близкие мне мысли. >Агрумент в пользу OpenSource... Выигрыш, конечно, сомнительный,... Даже аргумент сомнительный. Я, например, не хочу некачественное ПО даже бесплатно. Кроме того, если даже поверить в полную бесплатность "свободного ПО", то я могу повлиять на производителя коммерческих программ тем, что откажусь покупать его софтвер. А как я могу повлиять на производителя "свободного ПО"? Призывами к его сознательности?
	Илья 13 Mar 2004 9:25 AM
2Alexander S. >Я, например, не хочу некачественное ПО даже бесплатно. --- Ну так _покупай_ некачественное. Только не надо здесь никому лапшу вешать, что у тебя в компьтере нет ворованного софта. >я могу повлиять на производителя --- Наивный ребенок. Если б так было, некрософт давно бы по миру пошел. >А как я могу повлиять на производителя "свободного ПО"? --- Помогая ему развивать продукт в качестве программиста, тестера, да просто заинтересованного пользователя. Кавычки ты зря поставил. >хакеру потребовалось только 45 секунд чтобы взломать --- Что именно он взломал? И что он получил в результате? Там написано? Если ты себе этот вопрос не задавал, говорить с тобой не о чем. А тебе не о чем здесь спорить.
	Observer 15 Mar 2004 10:27 AM
2Илья: А ты злой, Илья!.. Можно подумать, что тебе наступили на любимый мозоль. :-) На вещи нужно смотреть ширше, а с людьми - мягше! Речь ведь не идет о том, что лучше, а что хуже (хоть это и так все знают! - шутка...). Просто на ЗДНет, в основном, не объективные и не равнозначные статьи пишутся про ОСы. 2all: Но что хочется сказать, народ, чем больше флейма про Винду (причем любого, "+" или "-"), тем больше Микрософту рекламы, а это не может не радовать!!!
	Дмитрий 19 Mar 2004 3:33 PM
Согласен насчет ширше и мягше. А то одни наблюдаются одни эмоции и отсуствие прагматичных рассуждений.
	Дмитрий 19 Mar 2004 3:33 PM
Согласен насчет ширше и мягше. А то наблюдаются одни эмоции и отсуствие прагматичных рассуждений.