Майкрософт пуснаха кръпка за 17-годишен бъг
Изследователят по сигурността на Google, Tavis Ormandy, е намерил няколко недостатъка в Virtual DOS Machine (VDM)- софтуер позволяващ на по-новите версии на Windows да работят със стар DOS и 16-битов софтуер. Бъгът позволява на непривилегирована 16-битова програма да получи пълен достъп до компютъра, което позволява на атакуващите да изпълнят собствения си код върху PC-то. Ormandy е намерил бъга преди около 7 месеца и го е съобщил на Microsoft, но до сега patch не беше пуснат.
Февруарската актуализация за сигурността ще включва кръпка за тази „дупка“, която датира още от Windows NT 3.1, публикуван през юли 1993. Уязвимостта е присъствала във всички 32-битови версии на Windows от 1993 г. насам, включително и Windows XP, Vista, Windows 2000, Server 2003/2008, както и най-новата версия – Windows 7.
17-годишният бъг засяга само 32-битовите версии и не влияе на 64-битовите машини, които не поддържат 16-битови приложения. От Microsoft съобщиха, че атаките чрез тази уясвимост може би са малко, тък като е очевидно локалния достъп до компютъра е задължителен.
Сред 25-те други „кръпки“ включени в актуализационния пакет за този месец са пет „критични“ уязвимости, които могат да позволят на атакуващия да завладее персонален компютър с Windows и да го принуди да изпълнява неговите програми. Актуализацията също така поправя грешки в Microsoft Office 2003 и XP и Office 2004 за Apple Macintosh.
Изследователят по сигурността на Google, Tavis Ormandy, е намерил няколко недостатъка в Virtual DOS Machine (VDM) – софтуер позволяващ на по-новите версии на Windows да работят със стар DOS и 16-битов софтуер. Бъгът позволява на непривилегирована 16-битова програма да получи пълен достъп до компютъра, което позволява на атакуващите да изпълнят собствения си код върху PC-то. Ormandy е намерил бъга преди около 7 месеца и го е съобщил на Microsoft, но до сега пач не беше пуснат, съобщиха от PhysOrg.
Февруарската актуализация за сигурността ще включва кръпка за тази „дупка“, която датира още от Windows NT 3.1, публикуван през юли 1993. Уязвимостта е присъствала във всички 32-битови версии на Windows от 1993 г. насам, включително и Windows XP, Vista, Windows 2000, Server 2003/2008, както и най-новата версия – Windows 7. 17-годишният бъг засяга само 32-битовите версии и не влияе на 64-битовите машини, които не поддържат 16-битови приложения. От Microsoft съобщиха, че атаките чрез тази уясвимост може би са малко, тък като очевидно локалния достъп до компютъра е задължителен. Сред 25-те други „кръпки“ включени в актуализационния пакет за този месец са пет „критични“ уязвимости, които могат да позволят на атакуващия да завладее персонален компютър с Windows и да го принуди да изпълнява неговите програми. Актуализацията също така поправя грешки в Microsoft Office 2003 и XP и Office 2004 за Apple Macintosh.
Discussion about this post