База данных Российской полиграфии - Print Base
Вся полиграфия - Print BaseКаталог полиграфического оборудования и расходных материаловПолиграфические услугиКаталог компаний полиграфической индустрииНовости полиграфической индустрииСтатьи для полиграфистов, дизайнеров и просто любознательныхГлоссарий полиграфических терминовДоска объявленийРабота. Зарплата. Резюме. Вакансии
Главная страница / Новости / Безопастность

Поиск в новостях

Полиграфия
Упаковка
Железо
Софт
Безопастность
Обучение

RB2 Network

RB2 Network

Microsoft выпускает патчи против нескольких "критических" уязвимостей в IE, XML Core Services 2.6, SQL Server и Commerce Server

27.02.2002

Microsoft выпустил патчи против серьезных уязвимостей, обнаруженных в интернет-программах корпорации, а именно в браузере Internet Explorer и XML Core Services 2.6. Позднее выяснилось, что аналогичные проблемы присущи Microsoft SQL Server и Commerce Server 2000. Microsoft рекомендует пользователям скачать и установить эти патчи немедленно, поскольку уязвимости очень серьезные. Тем более, что Internet Explorer поставляется со всеми операционными системами Windows, а XML Core Services - вместе с Windows XP.

Проблемы с Internet Explorer

У скриптов Visual Basic (VBScripts) в IE есть возможность, активизировавшись в одном фрейме браузера, считывать информацию из других фреймов. Поэтому хакер может заманить пользователя на особую веб-страницу или послать ему html-письмо, и благодаря этому либо увидеть (и только увидеть) все, что находится на жестком диске у жертвы, либо просматривать вместе с ничего не подозревающим пользователем все посещаемые им веб-страницы. Во втором случае в распоряжении хакера могут оказаться номера кредитных карт и другая важная информация.

Уязвимость характерна для версий 5.01 SP2, 5.5 SP1, 5.5 SP2 и 6.0.

Уязвимость в The XML Core Services

XML Core Services 2.6 поставляются вместе с Internet Explorer 6.0, SQL Server 2000 и наличествует во всех версиях Windows XP. Эта программа подвержена аналогичной, что и Internet Explorer, уязвимости, и хакер так же может считывать информацию с винчестера пользователя.

Дыра обнаружена в управляющем элементе Active X - XMLHTTP, который позволяет отправлять и получать XML-данные через протокол HTTP.

В XMLHTTP не производится должная проверка установок безопасности для некоторых запросов, посылаемых веб-страницами, так что хакер теоретически может через веб-страницу считывать какие-либо данные с жесткого диска пользователя. Правда пользователя все-таки придется заманить на нужную веб-страницу, поскольку html-письмом тут не обойдешься. Что важно, комбинация уязвимости в IE и XMLHTTP, в принципе, может позволить хакеру узнать полный путь к любому файлу на чужом компьютере, который ему может понадобиться, и прочитать его.

Уязвимость в Commerce Server

Дыра в Commerce Server 2000 носит принципиально иной характер. Из-за нее хакер может устроить DoS-атаку или даже запустить на сервере любую программу. При том, что Commerce Server сам по себе создан на базе IIS, сам Internet Information Server этой уязвимости не подвержен.

Проблемной является один из стандартных программ Commerce Server - AuthFilter, которая выполняет некоторые аутентификационные процедуры. Злоумышленник, "скормив" программе определенную информацию, может устроить переполнение ее буфера или заставить ее саму запустить какую-нибудь свою программу. Поскольку процедуры, выполняемые AuthFilter имеют высокий приоритет, хакер может получить полный контроль над сервером, а в некоторых случаях - и над всей сетью, подключенной к нему, в зависимости от степени доступности Commerce Server.

Подверженность DoS-атакам SQL Server

Уязвимость SQL Server 7.0 и 2000 оставляет их уязвимыми для DoS-атак. Хакер может послать на этот сервер определенным образом сконфигурированный запрос к базе данных через веб-сайт или попытаться загрузить его прямо на сервере. Переполнение буфера или обрушит сервер, или предоставит возможность злоумышленнику запустить свою программу с таким же системным приоритетом, как у самого сервера. Впрочем, эту уязвимость можно использовать не всегда, все зависит от конфигурации сервера.

Источник: «Компьюлента»


Вернуться к списку новостей


Коментарии пользователей


Ваши коментарии

Автор:* E-Mail:
Коментарий:*

 
| Блиц опросы |
 
 
Copyright 2000 New Line Graphics, ЗАО
E-Mail: info@nlg.ru
Rambler's Top100