| | ||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||
|
MS вновь поскользнулась на безопасностиРоберт Лемос (Rob Lemos), ZDNet News 16 мая 2000 г. Дружелюбный гассистентё обходится слишком дорого. Таков урок обнаруженного на прошлой неделе гчерного ходаё, который сводит на нет мощные функции Microsoft Office Assistant. Лазейка, позволяющая злоумышленнику написать скрипт, который, оказавшись в компьютере пользователя, может делать все, что угодно, в том числе добавлять и удалять файлы, активизируется кликом на веб-странице или письме в формате HTML. гВозможно все что угодно, ведь эти функции помечены как safe for scripting, + говорит специалист по защите данных из компании @Stake, он же хакер по кличке Dildog, обнаруживший лазейку. Microsoft выпускает заплатку, но от комментариев отказывается Office Assistant с самого его появления критиковали за то, что он напоминает ходунки для неопытных пользователей. Однако, несмотря на все свое дружелюбие, Office Assistant скрывает в себе значительную мощь. По существу, наличие в нем гчерного ходаё позволяет внедрять макросы, управляющие ПК, полностью отстраняя пользователя. Демонстрационная программа, разработанная @Stake, переводит степень системной защиты на уровень low и копирует текстовый документ на жесткий диск. гЭто позволяет создавать вирусы беспрецедентной разрушительной силыё, + предупреждает @Stake. Dildog одобряет быструю реакцию Microsoft на его предупреждение, но критикует компанию за слабую защиту системы скриптов Windows. гВы не имеете права помечать какие-то функции как safe for scripting, если оставляете возможность запускать их дистанционноё, + указывает он. Дело в том, что участники индустрии склонны замалчивать информацию о пробелах в защите. Обычно об этом известно лишь узкому кругу сотрудников компаний. гУ Microsoft есть привычка держать людей в неведении, + говорит Dildog. + Данный способ перехвата управления не отражен ни в одном документеё. Где купить: продукты Microsoft
|
