 Microsoft предупредила о трех новых ошибках в своем ПО, наиболее серьезная из которых позволяет хакерам получить полный контроль над ПК с использованием Java-аплета. Три предупреждения, выпущенных компанией в среду, относятся к ПО Microsoft Virtual Machine для исполнения Java-аплетов в Windows; багу cross-site scripting в одном из компонентов Windows 2000 и Windows NT 4.0 и багу denial-of-service, затрагивающему Proxy Server 2.0 и ISA Server. Таким образом общее количество предостережений, выпущенных Microsoft в этом году, достигло 12. В конце прошлого месяца компания выпустила патчи для Windows и IIS.
Ошибка Virtual Machine (VM) — наиболее серьезная, "критическая" по шкале Microsoft. VM поставляется с большинством версий Windows и некоторыми версиями Internet Explorer и используется для исполнения так называемых "аплетов", написанных на языке Java от Sun Microsystems.
Компонент VM, называемый ByteCode Verifier, неправильно проверяет наличие определенного злоумышленного кода при загрузке аплетов, что позволяет атакующему внедрить такой код в ПК пользователя через веб-страницу или e-mail. Там этот аплет может исполнить произвольную программу, исполняющую любые операции от очистки жесткого диска до организации "лазейки" для новых атак. VM содержится в версиях Windows 95, Windows 98 и 98SE, Windows ME, Windows NT 4.0, начиная с Service Pack 1, а также Windows 2000 и Windows XP. Уязвимость обнаружена в редакциях VM 5.0.3802 и выше до 5.0.3809 включительно, но возможно, что ей подвержены и более ранние версии ПО. Чтобы исключить ее, необходимо загрузить последние редакции с номерами 3810 и выше. Инструкции по загрузке и установке имеются на веб-сайте Microsoft.
Microsoft отмечает, что для использования уязвимости атакующий должен заманить пользователя на особый веб-сайт или заставить его открыть электронное сообщение. Клиенты e-mail, накладывающие ограничения на HTML-контент в сообщениях, такие как новейшие версии Outlook, предотвращают возможность успешной атаки.
|
