|
Microsoft опубликовала первую гзаплаткуё для Windows 2000
Дэвид Райков (David Raikow), Sm@rt Reseller
28 января 2000 г.
Не дожидаясь 17 февраля, Microsoft уже опубликовала первую гзаплаткуё для Windows 2000.
Она закрывает две дыры в защите Microsoft Index Server, наиболее опасная из которых позволяет хакерам просматривать файлы, хранящиеся на атакуемом веб-сервере. Index Server представляет собой дополнение к Windows NT 4.0 и встроен в Windows 2000 (в форме Indexing Services). Он обеспечивает разработчиков языком Active Scripting и средствами управления запросами.
Наиболее опасная из двух проблем, получившая название Malformed Hit-Highlighting Argument Vulnerability, обнаружена Дэвидом Личфилдом (Cerberus Information Security) из компании Cerberus Information Security 17 января. Она позволяет просматривать файлы на атакуемом веб-сервере и, по словам Личфилда, представляет собой серьезную угрозу. гКонечно, лучше всего сделать так, чтобы на веб-сервере не было никаких важных файлов, но это чрезвычайно трудно, + говорит Личфилд. + На многих серверах хранятся пароли и имена пользователей. Информация счетов и номера кредитных карт могут оставаться во временных файлах. Эти файлы следует регулярно удалять, но хакеры могут успеть прочитать ихё.
Это должен знать каждый
гНе нам оценивать серьезность этой проблемы + мы считаем серьезным любой риск нарушения защиты, + сказал менеджер по средствам защиты Microsoft Скотт Калп (Scott Culp). + Сейчас важно выпустить поправку и устранить проблему. Всем нашим заказчикам следует посещать наш сайт, посвященной защитеё.
Однако исследование Личфилда показывает, что риску подвергается, вероятно, большинство серверов под Windows. По его данным, по крайней мере шесть банков и три крупных производителя компьютеров пострадали от этой ошибки. гПроблема в том, что Index Server задействован по умолчанию, так что большинство людей даже не знают, что он у них есть. Увидев предупреждение Microsoft, они могут не осознать, что оно относится и к нимё, + пояснил он.
Калп признал, что у многих пользователей Index Server может работать без их ведома. гКонечно, с точки зрения безопасности нельзя оставлять включенными какие-либо службы, которыми вы не пользуетесь, + сказал он. + Мы хотим, чтобы наши заказчики усвоили это и всегда знали, какие службы у них активны и как отключить то, что им не нужно. Кроме того, мы ввели в Windows 2000 более строгие параметры по умолчанию и значительно упростили выбор конфигурацииё.
Вторая ошибка относительно безобидна
Второй из двух дефектов позволяет злоумышленнику читать информацию из атакуемой сети, но эта лазейка считается относительно безобидной. Некоторые специалисты говорят, что она публично обсуждается уже несколько месяцев, но Калп утверждает, что Microsoft узнала об этом не раньше чем две недели назад. Во всяком случае обе проблемы не успели исправить в распространяемой версии Windows 2000, которая поступила в производство 15 декабря и уже тогда была доставлена производителям аппаратуры и некоторым другим важным партнерам. Крупные заказчики и разработчики получили гзолотойё код в первой половине января.
В розничную продажу продукт поступит 17 февраля.
ZDNET Russia
|