На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2004-12-2 на главную / новости от 2004-12-2
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 2 декабря 2004 г.

Microsoft выпустила критическое исправление для IE

В среду Microsoft опубликовала поправку для Internet Explorer, устраняющую обнаруженный месяц назад пробел в защите браузера, который использовался для распространения вирусов и атак на ПК через рекламные баннеры.

Уязвимость, которую Microsoft называет ошибкой Internet Explorer Elements, известна как iFrame. Проблема — которая не касается систем Microsoft Windows ХР с установленным обновлением Service Pack 2 — позволяет злоумышленникам перехватывать управление ПК, если пользователь зарегистрирован в системе с правами администратора. Пользователи домашних компьютеров обычно так и поступают.

Представитель Microsoft сказал, что софтверный гигант выпустил поправку, не дожидаясь срока очередного планового обновления, который приходится на 7 декабря, поскольку данная ошибка уже используется злоумышленниками для атак на персональные компьютеры. «Это один из факторов, которые мы учитываем — когда ведутся активные атаки и заказчики могут пострадать», — пояснил Стивен Тулуз, менеджер программы безопасности Microsoft Security Response Center.

Уязвимость может применяться для перехвата управления компьютером, когда жертва открывает простую веб-ссылку. В результате атаки злоумышленник получает возможность устанавливать программы, просматривать, модифицировать или удалять данные и создавать новые учетные записи.

Поправка вышла более чем через месяц после первой публикации об уязвимости iFrame в открытых списках рассылки, посвященных компьютерной безопасности. Microsoft обрушилась на исследователей с критикой, призывая их давать разработчикам хотя бы месяц на исправление проблем, прежде чем обнародовать информацию о них в публичных форумах.

Данная ошибка IE подчеркивает, что вновь обнаруженные уязвимости очень быстро начинают применять для атак на пользовательские ПК. В начале ноября в интернете появились два компьютерных вируса, использующие уязвимость браузера Microsoft для заражения ПК — Bofra.A и Bofra.B, которые опираются на исходный код вируса MyDoom. Кроме того, на прошлой неделе злоумышленники взломали по крайней мере один сервер рекламной сети Falk и использовали его для атак на клиентов этой службы, включая посетителей сайта технологических новостей и обсуждений The Register.

Ошибка IE Elements влияет на ПК с IE версии 6, если на них не установлен Service Pack 2. По словам Тулуза из Microsoft, это последнее обновление Windows ХР претерпело свыше 130 млн загрузок.

Последнее обновление для IE 6 можно загрузить с секьюрити-сайта Microsoft или через Windows Update. 

 Предыдущие публикации:
2004-11-11   Вирусы нарушают цикл выпуска исправлений Microsoft
2004-11-27   Gartner: «Берегитесь эксплойта Bofra»
2004-11-27   Правительство Финляндии предложило радикальное решение проблемы IE 6
Обсуждение и комментарии
geor
2 Dec 2004 10:17 AM
шо ? опять !? :)
 

добрый
2 Dec 2004 10:42 AM
"выпустил поправку, не дожидаясь срока очередного планового обновления, ... поскольку данная ошибка уже используется злоумышленниками для атак на персональные компьютеры"

Владельцы этих компьютеров полагали, что после посещения WindowsUpdate и установки ВСЕХ патчей находятся в полной безопасности :)
 

случайный имя
2 Dec 2004 11:49 AM
2добрый:

Ключевое слово - плановое обновление. Каждый второй вторник месяца... Впрочем, это не умаляет "заслуги" МС с этим патчем. Можно было и побыстрей пошевелиться...
 

добрый
2 Dec 2004 11:56 AM
2случайный имя:
песец обычно не бывает плановым :)
 

zenith
2 Dec 2004 4:17 PM
Ха, не прошло и месяца :). Так держать!
 

dum-dum
2 Dec 2004 9:52 PM
А где же заинтересованные лица(РТО/Alexande S.)? почему не брызжут слюной на посетителей ZDNet.ru ?
непорядок!
 

Myxamop
3 Dec 2004 1:26 AM
Потому что они брызжут шампанским и отдыхают нормальным образом.
 

добрый
3 Dec 2004 10:04 AM
2Myxamop:
> Потому что они брызжут шампанским

Это что ж они отмечают?
1 декабря — Всемирный День борьбы со СПИД.
Вы меня пугаете!
:))
 

vas
3 Dec 2004 10:44 AM
2All
SP2 вышел 4 месяца назад. В нем данной уязвимости нет. Интересно какая еще компания делает обновления для людей которые приципиально не ставят сервиспаки в течении 4 месяцев.
 

Flying
3 Dec 2004 12:57 PM
2vas: Windows 2000 SP4 содержит эту дыру. Сервис пак от XP для Windows 2000 не походит. Думаю логика ясна?
 

vas
3 Dec 2004 1:05 PM
2Flying
>Думаю логика ясна?
О да логика ясна. Там еще есть NT 4.0. И поправка была выпущена так же для нее. Перефразируя: какая еще компания поддерживает столько версий(разных!) ОС?
 

Чукча
3 Dec 2004 4:19 PM
2vas
>какая еще компания поддерживает столько версий(разных!) ОС?

Незнаю насчет ОС (тут спец Скул ;), но вообще-то каждая серьезная компания обеспечивает поддержку своих пользователей. Пока пользователь платит за поддержку (в т.ч. авансом) - он ее получает.
 

vas
3 Dec 2004 5:57 PM
2Unexperienced
Не путать серверные ОС и клиентские - масштабы не сопоставимы. У МС и клиент и сервер. Кроме того скажем прямо как сервер приложений Novell мягко говоря ни какой.

2Чукча
Даже не знаю, что теперь скажут о поддержке представители RedHat.

 

tstone - saldomail.ru
3 Dec 2004 6:24 PM
2vas:
в IBM запретили ваабще ставить этот СП2
 

Чукча
3 Dec 2004 6:27 PM
2vas
> Даже не знаю, что теперь скажут о поддержке представители RedHat.

Да? И что же они мне скажут? Вы с ними общались?
Я, чесно говоря, с ними общаться и не собираюсь - повода нет и не будет. Но вообще-то я не RedHat имел ввиду, а скорее такие компании как IBM, HP, SUN, Oracle etc.
Может у Вас имеется отрицательный опыт общения c этими компаниями?
Ваш восторг политикой MS, мягко говоря, наивен. В течении последних десяти лет идет постоянная атака обществ потребителей на софтостроителей за их EULA. И со-временем, я думаю, положение дел все-таки изменится. Например Marta Datavision еще в 2000 приняла на себя полную ответственность за последствия сбоев ПО Euclid Quntium при правильном его использовании.
Собственно, лет 20-25 назад, это было общепринятой практикой в мире "больших" компьютеров.
 

MOHTEP
4 Dec 2004 8:31 PM
"в IBM запретили ваабще ставить этот СП2"

Это, батенька потому, что в IBM этот SP2 мешает большому IBM шпионить за своими сотрудниками что они делают давно с целью экономии на поддержке и повышения морали.
 

none
6 Dec 2004 1:08 PM
2vas:
"Перефразируя: какая еще компания поддерживает столько версий(разных!) ОС?"
какая компания, из-за непомерного жлобства, столько версий наплодила, что сама в них путается ;) ? - Вы это спрашивали? :)
 

случайный имя
6 Dec 2004 3:51 PM
2tstone:

до поры, до времени... Я помню, как в ибм запрещали ставить Windows 2000 Prof :). Такие грозные письма рассылали всем, включая партнеров, подключенных к их внутренней сетке :)
 

случайный имя
6 Dec 2004 3:53 PM
"Например Marta Datavision еще в 2000 приняла на себя полную ответственность за последствия сбоев ПО Euclid Quntium при правильном его использовании."

А что есть правильное использование? И скока это стоит? Уточните, плиз :)
 

 

← ноябрь 2004 1  2  3  5  6  7  8  9  10 январь 2005 →
Реклама!
 

 

Место для Вашей рекламы!