главная    •    Новости    •    софт    •    RSS-ленты    •    реклама    •    PDA-Версия    •    Контакты
Windows XP     •    Windows 7    •    Windows 8    •    Windows 10   •    Windows Server     •    Железо
Полезные советы      •     Администрирование      •     Сеть      •     Безопасность      •     статьи
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • В Windows 10 Mobile теперь тоже можно читать EPUB в браузере
  • Microsoft HoloLens: голографические чаты не за горами
  • В Windows 10 Mobile появится сброс настроек приложений
  • В Windows 10 станет удобнее делиться контентом
  • Соответствующий код опубликован, US-CERT рекомендует установку “kill bit” («бита отключения»)

    Один польский исследователь заявил, что пакет разработки DirectX, выпущенный Microsoft в 2002 году, содержит критическую уязвимость, поскольку этот пакет позволяет реализовать код, который может повредить персональные компьютеры с Windows путем привлечения пользователей Internet Explorer на потенциально опасные сайты.

    Согласно Кристиану Клосовски (Krystian Kloskowski), который разместил созданный им код на сайте milw0rm.com, элемент управления ActiveX FlashPix, поставляемый вместе с DirectX Media 6.0 SDK, содержит ошибку переполнения буфера, которая и может быть использована. Более того, согласно воскресному информационному сообщению US-CERT: «так как элемент управления ActiveX FlashPix обозначен как «Безопасный для использования в сценариях», Internet Explorer может быть использован как одно из направлений для атаки с помощью этой уязвимости».

    Internet Explorer 6 (IE 6) может быть использован для совершения такой атаки, напомнил Клосковски, но нигде нет информации о том, является ли более новый IE7 таким же плацдармом. На вопросы про серьезность угрозы, обнаруженной Клосковски, Microsoft не ответила.

    Вероятным сценарием атаки, по словам US-CERT, может быть вредоносный сайт, содержащий эксплойт с кодом и спамовое сообщение, которое будет содержать ссылку для пользователей на этот сайт. Другим вариантом может быть электронное письмо с HTML-содержимым, внутри которого и запрятан опасный код – этот путь также возможен. В этом случае инфицирование произойдет, как только пользователь откроет зараженное сообщение.

    Компания, отслеживающая ошибки программного обеспечения из Дании, Secunia, присвоила этой уязвимости «высоко критический» приоритет, что соответствует второй сверху по значимости позиции по их пятибалльной шкале. US-CERT тем временем, порекомендовала предпринять кое – какие дополнительные шаги: или полностью отключить все элементы управления ActiveX, или установить так называемый «бит отключения» («kill bit») в реестре для деактивации только одного элемента управления FlashPix. Предупреждение от US-CERT также содержало в себе строку, которую необходимо добавить в реестр Windows для установки бита отключения FlashPix.

    Несмотря на то, что Microsoft добавляла дополнительные элементы безопасности в IE6 и IE7 на протяжении всего времени их существования для уменьшения угроз со стороны ошибок в элементах управления ActiveX, они упустили эту проблему. В конце прошлого месяца, например, Yahoo Widgets – платформа, которая использует небольшие сетевые приложения (гаджеты) на Рабочем столе Windows – компьютеров, была обозначена как имеющая опасные уязвимости в ассоциированных ActiveX элементах управления.

    Автор: Грег Кейзер (Gregg Keizer).
    Перевод: Livsy
    Источник: computerworld.com


    Оцените статью:
    Голосов 1

    Материалы по теме:
  • Серьезная уязвимость вновь обнаружена в Windows
  • DirectX содержит опасную уязвимость
  • Проблема безопасности Windows Vista
  • Что сулит IE8 в плане безопасности?
  • В IE7 нашли первую дыру.


    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет восемь плюс четыре?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    РЕКЛАМА

    Copyright © 2006-2016 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+