]]>eTXT]]>


]]>]]>

Под сомнением защищенность самых популярных клиентских программ для Internet

Производители же ПО, и в первую очередь Microsoft, отвечая на требования высоко конкурентного рынка вынуждены расширять функциональность своих продуктов в ущерб безопасности.

В июле многим программистам Microsoft было не до отпусков, поскольку месяц оказался «урожайным» на бреши в защите ее продуктов, обнаружением которых занимаются не знающие отдыха энтузиасты. Особенно неприятные последствия грозят пользователям почтовых клиентов Outlook и Outlook Express.

Первые сигналы поступили в конце июня. Эксперты предупредили Microsoft, что в случае совместного использования таких популярных продуктов как Internet Explorer, Outlook, Access, PowerPoint, Excel, а также элементов управления ActiveX, злоумышленники могут получить контроль над соответствующим ПК Для этого им достаточно, например, создать файл БД Access, содержащий зловредный код на Visual Basic. Затем, когда ничего не подозревающий пользователь посещает специальным образом спроектированную Web-страницу или читает почтовое сообщение, содержащее аналогичный HTML-код, в его систему импортируется упомянутый файл Access, который открывается и исполняет действия, предписанные злоумышленником.

Если на компьютере установлены Excel 2000 или PowerPoint 2000, то при помощи сценария, встроенного в HTML-страницу, можно обратиться к функциям некоторых элементов ActiveX и загрузить извне любой файл. Им может оказаться исполняемый файл, который, будучи сохраненным в папке начальной загрузки, активизируются уже при следующем включении компьютера. Кроме того, оказалось, что при работе с IE, Outlook и Outlook Express, в некоторых ситуациях даже в случае отказа пользователя от предложения загрузить файл извне, он будет сохранен на жестком диске.
Хотя соответствующие заплатки были выпущены Microsoft достаточно оперативно, почивать на лаврах было рано: спустя двадцать дней обнаружились бреши в системе защиты IE, Outlook и Outlook Express. Их неприятное свойство состояло в том, что под сомнение было поставлено прокламируемое Microsoft правило «личной гигиены», которое в качестве надежной гарантии от любых неприятностей рекомендовало не открывать подозрительные почтовые вложения. В данном же случае зловредный код мог быть исполнен сразу же по получении сообщения с почтового сервера — пользователю не нужно было его даже читать.

Слабое место выявилось в компоненте, используемом как в Outlook, так и в Outlook Express. Если в программе не предусмотрена проверка соответствия размера загружаемого массива данных и выделенной ему памяти, имеет место так называемое переполнение буфера. Оказалось, что при переполнении буфера, в который помещается заголовок почтового сообщения, «лишние» данные записываются в свободный участок оперативной памяти, а если эти данные представляют собой специальным образом написанный исполняемый код, он может быть запущен на машине пользователя с непредсказуемыми последствиями.

В данном случае Microsoft столь же быстро отрапортовала о готовности «заплатки», но настоятельно рекомендовала всем осуществить переход на одну из более новых версий Web-броузеров (IE 5.01 Service Pack 1 или IE 5.5). При ближайшем рассмотрении оказалось, однако, что для IE 5.0 и более старых версий никакого решения у Microsoft пока нет, а упомянутая выше рекомендация связана с включением в состав этих продуктов версии Outlook Express 5.5, которая изначально работает с буфером вполне корректно.

Казалось бы, проблема решается просто: загрузить с сайта Microsoft самую свежую версию IE и установить ее на своем ПК (продукт-то бесплатный). Однако, если вы хотели бы продолжать использовать русскую версию броузера, сделать это сейчас будет невозможно — русские редакции IE 5.01 SP1 и IE 5.5 пока еще не готовы.

Последняя брешь по-своему уникальна, поскольку в отличие от большинства других, она не связана с использованием языка сценариев VBScript или VBA.Многие эксперты склонны обвинять эти языки во всех бедах такого рода. По их мнению, подобные средства автоматизации рутинных процедур, которые хорошо зарекомендовали себя при работе на автономных ПК, совершенно неприемлемы в столь открытой и незащищенной среде как Internet. Производители же ПО, и в первую очередь Microsoft, отвечая на требования высоко конкурентного рынка вынуждены расширять функциональность своих продуктов в ущерб безопасности.

Менеджер Microsoft Скотт Калп не согласен с этим и утверждает, что дело не в языках сценариев, а в склонности к созданию вирусов как социальном феномене. Означает ли это, что Microsoft вместо совершенствования средств защиты своих продуктов займется врачеванием социальных язв?

Не следует думать, что это проблема только Microsoft. В начале августа тучи сгустились и над «безопасным по самой своей природе» языком Java. Виртуальная Java-машина, реализованная в броузере Netscape, позволяет неподписанному Java-апплету читать файлы на клиентской машине и рассылать их по Internet. В Netscape изучают проблему, а пока компания рекомендует пользователям отключить в броузере работу с Java.

Универсальный и незаменимый помощник при работе с документами - как найти? Знакомьтесь: ]]>системы автоматизации документооборота]]>. Минимум времени на ведение отчета и планирование дел - не это ли мечта делового человека?

 

Все статьи категории инновации

Библиотека: 

Навигатор по интернету

Узнать простую, но эффективную систему для наращивания трафика. Плюс эта книга с правами перепродажи. 

Узнать подробнее!

Создание сайта

Сделать веб-сайт по приемлемым ценамЗаказать создание сайта под ключ. Цена: недорого.





Если вам понравилась статья, вы можете ]]>подписаться на RSS]]> или E-mail рассылку. Для получения обновлений по электронной почте, введите ваш e-mail адрес в эту форму:

Введите Ваш email:

Подпишись с ]]>FeedBurner]]>

Другие сервисы почтовых рассылок

* Нажимая на кнопку "Подписаться!" я даю согласие на рассылку и соглашаюсь с политикой конфиденциальности