Microsoft: «Критическая брешь в миллионах систем»

Microsoft предупреждает о критической бреши в системе безопасности, существующей в ОС Windows 98, Me, 2000 и NT 4.0. По сообщению корпорации, особенно подвержены опасности системы с установленным Microsoft Internet Information Server (IIS). Это уже 65-ый Security Bulletin от Microsoft в этом году и первая брешь, о которой сообщается по новой, упрощенной схеме. Windows XP не содержит этой бреши. Об этом сообщается в Microsoft Security Bulletin.

Дыра затрагивает целый ряд компонент, которые собраны в Microsoft Data Access Components (MDCA) и служат для коммуникации между веб-сервером и браузерами с онлайновыми базами данных. Брешь проявляется в версиях MDCA 2.1-2.6. Хакер может использовать ее для атаки, ведущей к переполнению буфера, а затем перенять контроль над затронутыми системами. В случае с IIS эта дыра в безопасности позволяет распространять черви, — такие как Code Red или Nimda.

Наряду с привычной для Microsoft публикации в TechNet этот бюллетень был опубликован в упрощенной форме и на странице Microsoft, посвященной безопасности. Подобный способ предупреждения начал действовать всего несколько дней назад, после частой критики в адрес концерна по поводу того, что предупреждения непонятны для конечных пользователей и часто их не достигают. Новые бюллетени безопасности для конечных пользователей стали проще и описывают процедуру устранения проблемы за несколько шагов. Абонемент будет доступен в ближайшее время. В то же время подробные бюллетени Microsoft TechNet будут выходить и впредь. Однако концерн намеревается перейти к оценке дыр в системе безопасности по определенной ступенчатой шкале. Некоторые из уровней будут более подробно разбираться на сайте TechNet. Новый уровень «important» описывает бреши, обеспечивающие злоумышленникам доступ к системе; уровень «critical» описывает дыры в системе безопасности, которые могут быть использованы, например, для распространения червей. Подробнее Вы можете прочитать об этом здесь.