Omar.ru  — лучшие цены в интернете  
Например: Кондиционеры, Телевизоры
Москва
Москва

Выбор региона

Если вы хотите посмотреть предложения магазинов из других регионов воспользуйтесь формой ниже.
Введите регион:
- -
Omar.ruГлавная » Обзоры » Microsoft выпускает патчи против нескольких "критических" уязвимостей в IE, XML Core Services 2.6, SQL Server и Commerce Server

Microsoft выпускает патчи против нескольких "критических" уязвимостей в IE, XML Core Services 2.6, SQL Server и Commerce Server

Microsoft выпустил патчи против серьезных уязвимостей, обнаруженных в интернет-программах корпорации, а именно в браузере Internet Explorer и XML Core Services 2.6. Позднее выяснилось, что аналогичные проблемы присущи Microsoft SQL Server и Commerce Server 2000. Microsoft рекомендует пользователям скачать и установить эти патчи немедленно, поскольку уязвимости очень серьезные. Тем более, что Internet Explorer поставляется со всеми операционными системами Windows, а XML Core Services - вместе с Windows XP.

Проблемы с Internet Explorer

У скриптов Visual Basic (VBScripts) в IE есть возможность, активизировавшись в одном фрейме браузера, считывать информацию из других фреймов. Поэтому хакер может заманить пользователя на особую веб-страницу или послать ему html-письмо, и благодаря этому либо увидеть (и только увидеть) все, что находится на жестком диске у жертвы, либо просматривать вместе с ничего не подозревающим пользователем все посещаемые им веб-страницы. Во втором случае в распоряжении хакера могут оказаться номера кредитных карт и другая важная информация.

Уязвимость характерна для версий 5.01 SP2, 5.5 SP1, 5.5 SP2 и 6.0.

Патч можно скачать здесь.

Уязвимость в The XML Core Services

XML Core Services 2.6 поставляются вместе с Internet Explorer 6.0, SQL Server 2000 и наличествует во всех версиях Windows XP. Эта программа подвержена аналогичной, что и Internet Explorer, уязвимости, и хакер так же может считывать информацию с винчестера пользователя.

Дыра обнаружена в управляющем элементе Active X - XMLHTTP, который позволяет отправлять и получать XML-данные через протокол HTTP.

В XMLHTTP не производится должная проверка установок безопасности для некоторых запросов, посылаемых веб-страницами, так что хакер теоретически может через веб-страницу считывать какие-либо данные с жесткого диска пользователя. Правда пользователя все-таки придется заманить на нужную веб-страницу, поскольку html-письмом тут не обойдешься. Что важно, комбинация уязвимости в IE и XMLHTTP, в принципе, может позволить хакеру узнать полный путь к любому файлу на чужом компьютере, который ему может понадобиться, и прочитать его.

Патч можно найти здесь.

Уязвимость в Commerce Server

Дыра в Commerce Server 2000 носит принципиально иной характер. Из-за нее хакер может устроить DoS-атаку или даже запустить на сервере любую программу. При том, что Commerce Server сам по себе создан на базе IIS, сам Internet Information Server этой уязвимости не подвержен.

Проблемной является один из стандартных программ Commerce Server - AuthFilter, которая выполняет некоторые аутентификационные процедуры. Злоумышленник, "скормив" программе определенную информацию, может устроить переполнение ее буфера или заставить ее саму запустить какую-нибудь свою программу. Поскольку процедуры, выполняемые AuthFilter имеют высокий приоритет, хакер может получить полный контроль над сервером, а в некоторых случаях - и над всей сетью, подключенной к нему, в зависимости от степени доступности Commerce Server.

Патч - здесь.

Подверженность DoS-атакам SQL Server

Уязвимость SQL Server 7.0 и 2000 оставляет их уязвимыми для DoS-атак. Хакер может послать на этот сервер определенным образом сконфигурированный запрос к базе данных через веб-сайт или попытаться загрузить его прямо на сервере. Переполнение буфера или обрушит сервер, или предоставит возможность злоумышленнику запустить свою программу с таким же системным приоритетом, как у самого сервера. Впрочем, эту уязвимость можно использовать не всегда, все зависит от конфигурации сервера.

Тем не менее пропатчить обе версии будет не лишним. Патч для SQL Server 7.0 можно скачать
здесь, а для SQL Server 2000 - здесь.
blog comments powered by Disqus