Microsoft предупредила о 20 пробелах в защите

Во вторник Microsoft выпустила патчи, исправляющие не менее 20 ошибок в Windows. Некоторые из них делают отдельные версии операционной системы уязвимыми к новым червям или вирусам.

По крайней мере шесть ошибок подвергают ОС риску воздействия программ, подобных червю MSBlast, который с августа прошлого года заразил свыше 8 млн компьютеров. Еще одна затрагивает общий файл, используемый программами Internet Explorer, Outlook и Outlook Express, и позволяет создать вирус, который исполняется, если пользователь кликнет на подготовленной определенным образом гиперссылке.

Софтверный гигант выпустил четыре поправки для устранения 20 проблем безопасности в рамках своего графика ежемесячных обновлений. Microsoft не уточняет степень риска, утверждая лишь, что компании, установившие обновление, будут вне опасности. «Для тех, кто пользуется персональным брандмауэром, риск, связанный с многими из этих уязвимостей, ниже, — говорит менеджер программы обеспечения безопасности Microsoft Security Response Center Стивен Тулуз. — Но мы, безусловно, считаем их серьезными».

Самый крупный патч, MS04-011, исправляет не менее 14 ошибок. Брешь в защите Help and Support Center затрагивает как Windows 2003, так и Windows ХР. Другая ошибка, в формате изображений Windows Meta File, позволяет злоумышленникам перехватить управление компьютером под Windows NT, 2000 или ХР при помощи графического файла. По крайней мере шесть из 14 дефектов можно использовать для дистанционного управления Windows-компьютером без ведома пользователя.

По словам Тулуза, вместо поэтапного подхода Microsoft дожидалась готовности некоторых патчей, чтобы выпустить более полный набор поправок. «Вместо того чтобы предлагать те же файлы через три месяца, мы постарались предоставить заказчикам единое обновление, содержащее все поправки», — сказал он.

Однако некоторые эксперты критикуют софтверного гиганта за то, что он заставляет дожидаться общего обновления, исправляющего сразу много ошибок. По их словам, стратегия Microsoft больше ориентирована на public relations, чем на удобство для заказчиков.

«Эти выпуски подтверждают тенденцию, характерную для отношения Microsoft к безопасности в последнее время: они оставляют заказчиков уязвимыми на долгое время, пытаясь объединить поправки, чтобы создать впечатление меньшего количества уязвимостей, — говорит главный специалист eEye Digital Security Марк Мейфрет. — Это абсолютно неприемлемо».

eEye Digital Security обнаружила шесть ошибок из тех, о которых объявлено во вторник. Компания призывает пользователей Windows установить обновление как можно скорее. Мейфрет уже критиковал Microsoft за то, что на исправление ошибок у нее уходит аж 200 дней. По его словам, последние поправки готовились целых 216 дней.

Другие эксперты по безопасности настроены менее критически. «Нельзя обобщать, будто Microsoft слишком долго исправляет ошибки, — сказал главный технолог компании Qualys, специализирующейся на оценке уязвимостей, Герхард Эшелбек. — Это зависит от того, в каком месте кода находится дефект».

Qualys обнаружила две уязвимости из тех, о которых Microsoft объявила во вторник. Ошибку в библиотеке сетевого кода, общую для многих версий Windows, Microsoft исправила всего за два месяца, подчеркнул Эшелбек. У компании уже была практика, так как в феврале eEye Digital Security обнаружила другую ошибку в той же самой библиотеке.

«Многие ошибки из данного релиза происходят от тех, о которых мы уже знаем, — отметил Эшелбек. — Обычно, когда кто-то находит ошибку в том или ином коде, многие исследователи начинают искать в том же самом месте». Именно так случилось с ошибкой, которая привела к появлению червя MSBlast. Второй, аналогичный дефект был обнаружен в октябре, но Microsoft устранила его только теперь.

Эшелбек уверен, что софтверный гигант поступает правильно, выпуская единственный патч для всех пробелов в защите одних и тех же компонентов ПО, вместо того, чтобы в срочном порядке устранять их по одному. Qualys установила, что у половины компаний на установку наиболее критических поправок уходит не менее 30 дней. Поэтому важно облегчить этот процесс. «Это единственный патч, выходящий в запланированный день. Все знают, что у Microsoft сегодня день обновлений. По-моему, так и должно быть».

Эшелбек рекомендует компаниям установить по крайней мере первый патч Microsoft до конца недели. Информацию обо всех четырех обновлениях можно получить на веб-сайте Microsoft.

Предыдущие публикации:

2004-02-11		Microsoft предупреждает о широко распространенном дефекте Windows
2004-03-15		Чему Linux следует поучиться у Windows
2004-04-05		Эпидемия MSBlast оказалась гораздо обширнее, чем предполагалось

В продолжение темы:

2004-04-29

Угроза червя нависла над Windows

Обсуждение и комментарии

	Igor 14 Apr 2004 2:37 PM
Бедная ХРюша... Э как ее колбасит...

	О.Бендер 14 Apr 2004 3:37 PM
Ещё одна бессмысленная статья. Ну что господа присяжные-заседатели начнём флейм???

	6o6ep 14 Apr 2004 8:15 PM
А чего тут флеймить ? Тут деликатно промолчать нужно , пособолезновать на крайний случай админам : им опять ночь не спать , апдейты ставить . И в который раз тихо порадоваться что на своих серверах и рабочих станциях продукция Некрософт не используется .

	ёёё 14 Apr 2004 8:51 PM
26o6ep: им опять ночь не спать , апдейты ставить Репетируете звонок жене с работы ? ;)

	Нос 14 Apr 2004 10:12 PM
2бобер: это только у тех, кто sus не использует. Остальные действительно домой не идут, а по ... шляются :) Такая возможность!

	tstone - saldomail.ru 15 Apr 2004 9:31 AM
"Другая ошибка, в формате изображений Windows Meta File, позволяет злоумышленникам перехватить управление компьютером под Windows NT, 2000 или ХР при помощи графического файла" Нет это надо выучить наизусть, потом внукам буду рассказвать, мол были времена, когда такое было невозможно: "...перехватить управление компьютером... при помощи графического файла..." "И радуйтесь, радуйтесь!" (С) Кин-дза-дза. Зачем так сложно? А нельзя сделать так, чтобы с помощью текстового файла можно было перехватывать? А то влом картинку рисовать :-) Не там они ошибки ищут, консерваторию бы надо подправить.

	Chkaloff 15 Apr 2004 9:36 AM
2 Нос: Ну если контора не большая (1 сервер и 20 рабочих мест), то и без susа не сложно. Все эти апдейты стяватся давольно быстро. А т.к. MS выпускает их теперь не в разнобой, а ежемесячно пачками, то я скорее поверю, что 6o6ep сам о домой заполночь приходит, тем более что количество патчей, выпускаемых для дистрибутивов линуха обычно больше.

	Roger 15 Apr 2004 10:57 AM
А если контора большая, то с помощью SMS все ставится автоматически ночью, юзер утром предупреждается, что надо бы перегрузится и, если в течении двух дней он систему не перегрузит, то она сама перегрузится.... Это все в идеале - почему вот в нашей конторе у админов все это есть и даже технология отработана, но вот только оповещать юзвереей и устанавливать патчи они начинают не раньше чем через недели три. Спят что ли? И приходится все самому делать - нажать кнопочку один раз - загружать патчи и оповещать перед установкой и спать спокойно.

	new 15 Apr 2004 11:43 AM
2Chkaloff: и 99.99% из них ставить не нужно если есть pax. почитайте о нем. поймете :)

	нц 15 Apr 2004 1:51 PM
Не только у окошечников проблемы: http://securecomputing.stanford.edu/alerts/multiple-unix-6a pr2004.html Stanford, along with a large number of research institutions and high performance computing centers, has become a target for some sophisticated Linux and Solaris attacks. An unknown attacker (or group) has compromised numerous multi-user Solaris and Linux computers on Stanford's campus using a variety of mechanisms. In most cases, the attacker gets access to a machine by cracking or sniffing passwords. Local user accounts are escalated to root privileges by triggering a variety of local exploits, including the do_brk() and mremap() exploits on Linux and the sadmind, arbitrary kernel loading modules and passwd vulnerabilities on Solaris.

	Chkaloff 15 Apr 2004 6:46 PM
2 new: >и 99.99% из них ставить не нужно если есть pax. Это вы психиатору раскажите. Примерно такоеже утверждение можно сказать, что при правильной настройки политик и установки ISA не нужно ставитьпатчи на винде. Вам предлагаи его по фичам сравнить, с тем что есть, вы не торопетесь, а делаете только многозначительные комментарии.

	Ron 19 Apr 2004 12:49 AM
>> "если в течении двух дней он систему не перегрузит, то она сама перегрузится." Круто...

	Jack 6 May 2004 10:33 AM
2 tstone Вы писали >Нет это надо выучить наизусть, потом внукам буду рассказвать, мол были времена, >когда такое было невозможно: >"...перехватить управление компьютером... при помощи графического файла... Уважаемый легко и непринужденно, предварительный просмотр картинок ON, специально созданый файл имеющий расширение типа JPG может даже и картинка (цветочки, девочки, порно) + переполнение буфера, финита ля комедия

← март 2004

9 10 12 13 14 15 16 19 20

май 2004 →