(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Microsoft выпустила серию новых патчей

Источник: По материалам CNews и compulenta.ru

Компания Microsoft выпустила серию новых патчей. Восьми исправлениям присвоена высокая степень критичности. Среди них поправки для Microsoft Office ХР, Internet Explorer 6 и графического компонента операционной системы Windows , который предназначен для работы с Media Player и MSN Messenger .

Наибольшее количество дыр обнаружено в версиях операционной системы Microsoft Windows - семь штук . Также отмечается, что существует проблема с компонентой Microsoft SharePoint Services, которая, как известно, помогает в организации сайтов, ориентированных на обмен файлами и документами, а также осуществления работы с ними. В Microsoft.NET Framework также была найдена уязвимость, которой присвоена высшая степень критичности .

Заделана критическая дыра в Office XP

Корпорация Microsoft выпустила новую заплатку для пакета программ Office XP. Как сообщается в бюллетене безопасности MS05-005, уязвимость теоретически может использоваться злоумышленниками для получения несанкционированного доступа к удаленному компьютеру и последующего выполнения на нем произвольных действий.

Для реализации нападения необходимо вынудить жертву открыть документ в формате HTML, содержащий сформированную особым образом ссылку. Попытка просмотра такого файла приведет к возникновению ошибки переполнения буфера. Кроме того, атака может быть проведена через вредоносный веб-сайт.

Дыра, охарактеризованная как критически опасная, содержится в Office XP со вторым и третьим сервис-паками , а также приложениях Microsoft Project 2002, Microsoft Visio 2002, Microsoft Works Suite 2002/2003/2004. Загрузить обновление можно с этой страницы, а дополнительная информация о проблеме доступна здесь.

Выпущен кумулятивный патч для Internet Explorer

Еще Microsoft выпустила кумулятивный патч для браузера Internet Explorer версий 5.01, 5.5 и 6.0 (в том числе для компьютеров с операционной системой Windows ХР и вторым сервис-паком). Найденные дыры могут использоваться злоумышленниками с целью проведения XSS-атак ( Cross-Site Scripting ), для получения несанкционированного доступа к удаленному компьютеру и выполнения на нем произвольных деструктивных операций.

Первая проблема связана с некорректной обработкой некоторых событий Drag-and-Drop в браузере. Данная уязвимость позволяет сохранить произвольный файл на машине-жертве без ведома ее владельца. Вторая ошибка, возникающая при обработке закодированных ссылок, теоретически обеспечивает возможность выполнения на удаленном компьютере произвольных действий. Злоумышленник, в частности, может инсталлировать новые программы, просматривать системную информацию и удалять файлы. Правда, для успешной реализации атаки необходимо, чтобы текущий пользователь имел права администратора.

Кроме того, произвольный код может быть выполнен на ПК через сформированный особым образом веб-сайт или электронное письмо в формате HTML, при попытке просмотра которых происходит переполнение "кучи" (области памяти, выделяемой программе для динамически размещаемых структур данных). Наконец, еще одна брешь связана с неправильной обработкой ссылок в файлах формата CDF ( Channel Definition Format ). Эксплуатируя дыру, злоумышленник может осуществить XSS-атаку и получить доступ к конфиденциальным пользовательским данным. Более подробную информацию о дырах в Internet Explorer и соответствующие заплатки можно найти на веб-сайте софтверного гиганта.

Ликвидированы многочисленные уязвимости в различных версиях Windows

Корпорация Microsoft выпустила очередную серию патчей для различных версий операционных систем Windows.

Первая дыра, обнаруженная в компонентах Windows SharePoint Services for Windows Server 2003 и SharePoint Team Services , теоретически обеспечивает возможность проведения XSS-атак на удаленные компьютеры при помощи сформированного особым образом HTML-кода. Кроме того, эксплуатируя уязвимость, злоумышленник может внести изменения в кэш браузера. Ошибка получила рейтинг умеренно опасной.

Следующая проблема, описанная в бюллетене безопасности MS05-007, связана с некорректной проверкой подлинности идентификационных данных при установлении анонимного сетевого соединения. Результатом атаки может стать утечка списка учетных записей. Брешь, которой присвоен статус повышенной важности, присутствует в ОС Windows XP SP1/SP2 и Windows XP 64-Bit Edition (для процессоров Intel Itanium).

Ошибка, возникающая при обработке событий Drag-and-Drop в операционных системах Windows 2000, XP (в том числе со вторым сервис-паком ) и Server 2003, также охарактеризована софтверным гигантом как важная. С помощью этой дыры злоумышленник может сохранить на удаленном компьютере произвольные файлы без ведома пользователя.

Еще шесть уязвимостей , подробная информация о которых содержится в бюллетенях с MS05-009 по MS05-015, получили рейтинг критически важных. Одна из проблем связана с неправильной обработкой сформированных особым образом файлов в формате PNG , посредством которых атакующий может выполнить на машине-жертве произвольный вредоносный код. Дыра присутствует в Windows 98/98SE/ME, а также приложениях Windows Media Player 9.х, MSN Messenger и Windows Messenger. Кроме того, полный доступ к удаленному компьютеру можно получить через дыру в компоненте License Logging service операционных систем Windows NT Server 4.0, Windows 2000 Server и Windows Server 2003. Для реализации атаки необходимо направить жертве специально созданный запрос, который спровоцирует ошибку переполнения буфера и последующее выполнение вредоносных операций.

Две другие критические дыры связаны с неправильной обработкой SMB-пакетов ( Server Message Block ), СОМ-объектов и данных в компоненте OLE . Результатом удачной атаки, которая может быть проведена, например, при помощи вредоносного документа, является перехват контроля над машиной-жертвой. Уязвимости обнаружены в ОС Windows 2000 , Windows Server 2003 (в том числе 64-битных версиях ), а также Windows ХР ( с первым или вторым сервис-паком ). Более подробно о дырах можно узнать здесь и здесь.

Несанкционированный доступ к удаленному компьютеру может быть получен через сформированную особым образом веб-страницу, при обращении к которой на компьютере жертвы возникнет ошибка в компоненте DHTML Editing Component ActiveX . После удачного проведения атаки злоумышленник может выполнять на ПК любые действия. Наконец, последняя критически опасная дыра обнаружена в библиотеке Hyperlink Object Library операционных систем Windows всех версий. При обработке сформированных особым образом ссылок в этой библиотеке возникает ошибка переполнения буфера, что обеспечивает возможность несанкционированного выполнения деструктивных операций на удаленном компьютере.

Обратиться в Interface Ltd. за дополнительной информацией/по вопросу приобретения продуктов
Приобрести продукты Microsoft в Интернет-магазине ITshop.ru

О компании Microsoft

Основанная в 1975 году, компания Microsoft является ведущей мировой корпорацией, специализирующейся на производстве программного обеспечения. Microsoft разрабатывает передовые программные продукты для персональных компьютеров, которые позволяют существенно повысить эффективность труда и использовать новейшие достижения информационных технологий на работе, дома и при обучении. Программные продукты корпорации Microsoft пользуются огромной популярностью среди заказчиков во всем мире и получили широчайшую поддержку сторонних компаний, предлагающих сервисные услуги на компьютерном рынке.

Подробнее о продуктах Microsoft
Курсы по продуктам Microsoft



 Распечатать »
 Правила публикации »
  Написать редактору 
 Рекомендовать » Дата публикации: 10.02.2005 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
Microsoft Office 365 Персональный 32-bit/x64. 1 ПК/MAC + 1 Планшет + 1 Телефон. Все языки. Подписка на 1 год.
Microsoft Office для дома и учебы 2019 (лицензия ESD)
Microsoft Office 365 для Дома 32-bit/x64. 5 ПК/Mac + 5 Планшетов + 5 Телефонов. Подписка на 1 год.
Microsoft 365 Business Basic (corporate)
Microsoft 365 Business Standard (corporate)
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
Новости ITShop.ru - ПО, книги, документация, курсы обучения
Программирование на Microsoft Access
CASE-технологии
СУБД Oracle "с нуля"
Corel DRAW - от идеи до реализации
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
 



    
rambler's top100 Rambler's Top100