Главная
Архив новостей
Безопасность в Unix
Безопасность в Windows
Сборник FAQ'ов
Телефония, фрикинг
Кредитные карты
Криптография
Истории о хакерах
Программы, утилиты
_el@sp.sz.ru

RB2 Network

MS вновь поскользнулась на безопасности



Роберт Лемос (Rob Lemos), ZDNet News

16 мая 2000 г.

Дружелюбный гассистентё обходится слишком дорого. Таков урок обнаруженного на прошлой неделе гчерного ходаё, который сводит на нет мощные функции Microsoft Office Assistant.

Лазейка, позволяющая злоумышленнику написать скрипт, который, оказавшись в компьютере пользователя, может делать все, что угодно, в том числе добавлять и удалять файлы, активизируется кликом на веб-странице или письме в формате HTML. гВозможно все что угодно, ведь эти функции помечены как safe for scripting, + говорит специалист по защите данных из компании @Stake, он же хакер по кличке Dildog, обнаруживший лазейку.

Microsoft выпускает заплатку, но от комментариев отказывается
Microsoft выпустила заплатку, закрывающую эту лазейку, но пользователям придется сначала скачать ее, а затем обновить программу Office. Получить комментарии у представителей Microsoft пока не удалось.

Office Assistant с самого его появления критиковали за то, что он напоминает ходунки для неопытных пользователей. Однако, несмотря на все свое дружелюбие, Office Assistant скрывает в себе значительную мощь. По существу, наличие в нем гчерного ходаё позволяет внедрять макросы, управляющие ПК, полностью отстраняя пользователя. Демонстрационная программа, разработанная @Stake, переводит степень системной защиты на уровень low и копирует текстовый документ на жесткий диск. гЭто позволяет создавать вирусы беспрецедентной разрушительной силыё, + предупреждает @Stake.

Dildog одобряет быструю реакцию Microsoft на его предупреждение, но критикует компанию за слабую защиту системы скриптов Windows. гВы не имеете права помечать какие-то функции как safe for scripting, если оставляете возможность запускать их дистанционноё, + указывает он. Дело в том, что участники индустрии склонны замалчивать информацию о пробелах в защите. Обычно об этом известно лишь узкому кругу сотрудников компаний. гУ Microsoft есть привычка держать людей в неведении, + говорит Dildog. + Данный способ перехвата управления не отражен ни в одном документеё.

Где купить: продукты Microsoft

Обсуждение статьи

ZDNET Russia


<== Back to main page