148 дней за решеткой. Катерина Борисевич
Коронавирус: свежие цифры
  1. «Мы не гоняемся за сложными рецептурами». На Белинского открылась кондитерская Mousse
  2. «Это недопустимо». Григорий Василевич — об идее ограничить возраст для голосования 70 годами
  3. В выходные чуть потеплеет, на следующей неделе — похолодание и дожди
  4. Склепы с останками ребенка и взрослого обнаружили при прокладке теплотрассы в центре Могилева
  5. «С остринкой и иронией». Как белорусский бренд одежды стал конкурировать с известными марками
  6. Суд приговорил музыканта Тиму Белорусских к двум годам «домашней химии»
  7. «Переболел COVID-19 и вернулся». История 92-летнего фельдшера, без которого в деревне никак
  8. В прокате — «Чернобыль» Данилы Козловского. Что с ним не так?
  9. Туктамышеву называют новой примой российского фигурного катания. Только взгляните, как она хороша
  10. Руководителем Белорусской ассоциации журналистов избрали Андрея Бастунца
  11. Дух захватывает. Что видно с крыши в центре Минска, где сегодня презентовали высотный огород?
  12. На «Гомсельмаше» рассказали про 400 вакансий, приглашение россиян на работу и зарплаты выше 3600 рублей
  13. Вместо Земфиры — Моргенштерн. Организаторы «Вёски» — о возврате билетов и новом лайнапе
  14. Посольство США в Беларуси прокомментировало задержание Юрия Зенковича
  15. «Нормализация отношений невозможна, пока не прекратится насилие». Макей встретился с послами Германии и Франции
  16. «Падает мотивация платить налоги». Белорусы плохо разбираются в бюджете. Вот к чему это может приводить
  17. Глава Минздрава о третьей волне коронавируса в Беларуси: заболевших меньше, но тяжелых случаев больше
  18. «В больнице плакал и просил прощения». Поговорили с женой Виктора Борушко, которому дали 5 лет колонии
  19. «Белнефтехим» рассказал, насколько подорожает топливо до конца года
  20. Как скручивают пробеги у машин из Европы: вопиющие примеры и советы специалистов
  21. Переговоры с Мишустиным, новые законы и задержания. Что происходило в Беларуси 16 апреля
  22. Врач объясняет, когда выпивать два дня — это уже запой и как быстро человек может спиться
  23. Врач — о симптомах хламидиоза и том, как им можно заразиться
  24. Девушка Роналду — модель с невероятными формами. Вы удивитесь, узнав, чем она занималась до встречи с ним
  25. Белорус заочно получил пожизненное за убийство французских миротворцев. Рассказываем, что известно
  26. Премьер-министр России в Минске: налоговая интеграция и анонс встречи Лукашенко и Путина
  27. «Оказалось бы, что Минск — древний азербайджанский город». Бывший президент Армении раскритиковал Лукашенко
  28. «Попытка восстановить легитимность». Эксперты — о «заигрывании с Баку» и будущей встрече с Путиным
  29. Курсы доллара и евро заметно упали. Что происходит на валютном рынке
  30. АНТ: «Ціханоўскія атрымалі долю ў кампаніі сям'і Бабарыкі задоўга да выбараў». Глядзім дакументы


Корпорация Microsoft объявила о выпуске очередной порции заплаток к свои программным продуктам. Четыре пакета исправлений позволяют ликвидировать ряд новых дыр, обнаруженных в ОС Windows, СУБД SQL Server и инструментарии Interix SDK, входящем в пакет Microsoft Service for Unix 3.0.

Наиболее серьезными являются уязвимости, обнаруженные в системе помощи ОС Windows и описываемые в бюллетене MS02-055. Эти уязвимости имеются во всех версиях Windows, начиная с Windows 98 и Windows NT 4.0. Система помощи в этих ОС построена на базе языка HTML, а за большую часть ее функциональности отвечает специальный модуль ActiveX, который и является уязвимым для атак.

Первая уязвимость, по классификации Microsoft, является критической. Одна из функций в модуле ActiveX содержит непроверяемый буфер, вызвав переполнение которого, злоумышленник может захватить контроль над компьютером. Использовать уязвимость можно посредством специальным образом скомпонованной веб-страницы или электронного письма в формате HTML. Атаки по электронной почте не опасны для систем, в которых установлены пакеты Outlook Express 6 или Outlook 2002, либо Outlook 98 или Outlook 2000 с модулем Outlook Email Security Update.

Еще одна уязвимость в системе помощи Windows имеет среднюю степень опасности, которая сводится к тому, что в файлах помощи Windows могут размещаться ярлыки для осуществления тех или иных действий с системой. В систему помощи заложены механизмы обеспечения безопасности, позволяющие использовать такие ярлыки только надежным файлам помощи.

Однако недавно были обнаружены способы обхода защиты. Если файл с ярлыком находится в папке Temporary Internet Files с кэшем Internet Explorer, то он может быть ошибочно отнесен к надежным. Таким образом, злоумышленник получает возможность производить в системе любые действия. Однако использовать эту уязвимость сложно. Для этого нужно знать точный путь к кэшу Internet Explorer, который располагается в папках со случайными именами, вложенных в папку Temporary Internet Files.

Еще две средних по опасности уязвимости содержатся в операционных системах Windows 98 (с установленным пакетом Plus!), Me и XP. Они связана с функцией сжатых папок (Compressed Folders), которая позволяет работать с архивами .zip как с папками. Первая уязвимость сводится к возможности переполнения буфера. Разместив в архиве файл с особым именем злоумышленник может "подвесить" оболочку Explorer или захватить управление компьютером.

Вторая уязвимость заключается в том, что функция разархивирования может помещать в файлы не в ту папку, которую задал пользователь. В результате, злоумышленник может положить любую программу или документ в какую угодно папку, в том числе и в папку автозагрузки. Описание уязвимости и ссылки на файлы с заплатками можно найти в бюллетене MS02-054.

Кроме того, Microsoft выпустила кумулятивный патч к СУБД SQL Server 7 и 2000. Он исправляет несколько уязвимостей, обнаруженных в SQL Server в разное время. Некоторые дыры, которые ликвидирует данная заплатка, относятся к критическим. Информацию о кумулятивном патче и дырах в SQL Server можно найти в бюллетене MS02-056. Наконец, дыра в Interix SDK актуальна для ОС семейства Windows NT и способна привести к запуску на пораженной машине произвольного кода и проведению DoS-атаки.
-10%
-10%
-30%
-49%
-12%
-40%
-5%
-25%
-10%
-15%
-10%