Портал ISRAland - израильские новости

27.01.2003 | 11:06

Не успел Билл Гейтс в очередной раз привлечь внимание мировой прессы к проблемам компьютерной безопасности, как корпорация Microsoft опубликовала сразу три новых бюллетеня о проблемах с безопасностью в своих программных продуктах. Рейтинг новых уязвимостей варьируется от умеренного до критического, а об обновлении стоит подумать пользователям ОС семейства Windows NT, пакетов Outlook 2002 и Content Management Server 2001.

В первом в наступившем году бюллетене MS03-001 описывается дыра в службе Microsoft Locator, входящей в состав операционных систем семейства Windows NT версий 4.0 и старше. Служба Microsoft Locator предназначена для связи логических имен сетевых устройств с их сетевыми идентификаторами. По умолчанию эта служба включена при использовании доменных контроллеров (domain controllers) в серверных версиях ОС Windows 2000 и Windows NT 4.0.

Для данных вариантов установки ОС уязвимость является критической. Злоумышленник может направить службе Locator особым образом сформированный запрос, который приведет к ошибке переполнения буфера. В итоге, хакер захватит управление системой. Для клиентских версий Windows XP, Windows 2000 и Windows NT 4.0 дыра умеренно опасна - ее можно использовать только при условии ручной активации службы Locator. В состав более ранних версий Windows NT данная служба не входила.

В бюллетене MS03-002 описана уязвимость в системе управления веб-сайтами Content Management Server 2001. Дыра оценивается Microsoft как серьезная (important) и может привести к раскрытию информации. В одном из asp-шаблонов, входящих в комплект поставки пакета имеется ошибка в реализации технологии CSS (выполнение скриптов, расположенных на другом сайте). Ошибка позволяет встраивать в генерируемую на сервере страницу скрипт, способный передавать хакеру любую информацию, которую пользователь сервера вводит на его страницах. В более новой версии Content Management Server 2002 данная дыра отстутсвует.

Последняя из дыр, описанная в бюллетене MS03-003, актуальна для пользователей пакета Outlook 2002, шифрующих письма с применением сертификатов V1 Exchange Server Security. В Outlook 2002 имеется ошибка, которая возникает при шифровании с помощью сертификатов V1 Exchange Server Security почты в формате HTML. В результате, электронные письма отправляются открытым текстом, хотя пользователь думает, что его послания надежно зашифрованы. Впрочем, при использовании других алгоритмов шифрования подобные ошибки не возникают. Нет такой дыры и в предыдущих версиях пакета - Outlook 98, Outlook 2000. Более ранние версии Outlook больше не поддерживаются Microsoft, и о наличии в них такой дыры ничего не известно.

Читайте последние новости раздела "Технологии":
На MWC показали ИИ-очки для перевода на 87 языков →
Израильский стартап создал полностью автономную систему киберзащиты →
Иран атакует израильские компании в киберпространстве →
X запускает зачистку военных видеофейков →
Израильские ученые создали графеновый щит для дронов →
Душ без паники: израильский сайт подсчитает, когда безопасно принять душ →

Поделиться:

Компьюлента