|
News Events Yellow Pages Classifieds TV/Video Dating Forum Chat Photos | |
|
| |||||||||||||||||||||||||||||||
SoftNewsВ Windows обнаружены критические дыры, связанные с обработкой ActiveX
5:21AM Monday, Oct 20, 2003
Компьюлента. 16 октября 2003 года, 16:00
Компания Microsoft выпустила 15 октября новую серию бюллетеней, посвященных проблемам безопасности операционных систем семейства Windows. Первые два из пяти бюллетеней посвящены проблемам, связанным с использованием технологии ActiveX. В обоих случаях существует опасность удаленного использования уязвимостей с помощью специально созданной веб-страницы или письма в формате HTML. Первая из дыр, описанная в бюллетене MS03-041, актуальна для всех ОС семейства Windows NT, начиная с версии 4.0 и заканчивая Windows Server 2003. Для всех систем, кроме Windows Server 2003, дыра является критической, в случае же Windows Server 2003 опасность оценивается как умеренная, так как Internet Explorer в ней, по умолчанию, работает в режиме повышенной безопасности. Уязвимость связана с ошибками в работе технологии Authenticode, ответственной за подтверждение авторства того или иного ActiveX-модуля. Именно Authenticode отвечает за вывод предупреждений при загрузке модулей на пользовательский компьютер. Однако из-за наличия ошибки, в некоторых случаях при нехватке памяти такое предупреждение не выводится, и модуль загружается и запускается без уведомления пользователя. Используя эту ошибку, злоумышленник может выполнить на компьютере произвольный код. В Microsoft подчеркивают, что хотя наиболее простым сценарием атаки является проведение ее через браузер Internet Explorer, ее можно осуществить и через другие приложения, использующие Authenticode. Вторая дыра актуальна только для операционной системы Windows 2000 и также характеризуется компанией Microsoft как критическая. Дыра описывается в бюллетене MS03-042 и связана с наличием ошибки переполнения буфера в модуле Microsoft Local Troubleshooter (файл Tshoot.ocx). При запуске данного модуля не все параметры проверяются корректно, из-за чего может возникнуть ошибка переполнения. Вследствие этого хакер сможет выполнить в системе любые действия. |
Рассылки:
Новости-почтой TV-Программа Гороскопы Job Offers Концерты Coupons Discounts Иммиграция Business News Анекдоты Многое другое... |
News Central Home | News Central Resources | Portal News Resources | Help | Login | |
© 2024 RussianAMERICA Holding All Rights Reserved Contact |