Контакт: обсуждение софта и железа. (comp.soft.review.kontaktsoft.kontactlist) : Рассылка : Subscribe.Ru

За 2006-02-18

[ksoft] Вышел кумулятивный патч для Internet Explorer

[ksoft] Один из новых патчей Microsoft требует переустановки

[ksoft] Microsoft устранила опасные дыры в Windows и Office

[ksoft] Microsoft готовит альтернативу паролям

← Февраль 2006 →
	1	2	3 03.02.2006 01:32:45 03:07:38 23:19:00	4	5
6	7	8	9 09.02.2006 02:16:49 23:07:10 23:07:18 23:07:23	10	11	12
13	14	15	16	17	18 18.02.2006 00:13:03 00:13:10 00:13:14 00:13:34	19
20 20.02.2006 22:25:12 22:26:43 22:27:18	21	22	23	24 24.02.2006 21:46:39 21:46:59	25	26
27	28

← Февраль 2006 →

03.02.2006
01:32:45
03:07:38
23:19:00

09.02.2006
02:16:49
23:07:10
23:07:18
23:07:23

18.02.2006
00:13:03
00:13:10
00:13:14
00:13:34

20.02.2006
22:25:12
22:26:43
22:27:18

24.02.2006
21:46:39
21:46:59

Привет, All!

Корпорация Microsoft в рамках ежемесячного обновления своих
программных продуктов выпустила очередной кумулятивный патч для
браузера Internet Explorer.

Как сообщается в бюллетене безопасности
http://www.microsoft.com/technet/security/Bulletin/MS06-004.mspx
MS06-004, заплатка устраняет проблему, связанную с некорректной
обработкой сформированных особым образом графических файлов в формате
Windows Metafile (WMF). Уязвимость теоретически предоставляет
злоумышленнику возможность получить несанкционированный доступ к
удаленному компьютеру и выполнить на нем произвольный программный код.
Реализовать атаку можно, например, через веб-сайт, содержащий
вредоносный WMF-файл.

Брешь охарактеризована компанией Microsoft как критически опасная.
Впрочем, ошибка может быть задействована только в том случае, если на
компьютере жертвы установлены операционная система Windows 2000 с
четвертым сервис-паком и браузер Internet Explorer версии 5.01 с
четвертым пакетом обновлений. В Microsoft подчеркивают, что проблема
не имеет отношения к похожей дыре в Windows, заплатка для которой была
http://security.compulenta.ru/246170/
выпущена в начале года.

Загрузить кумулятивный патч для IE, заменяющий апдейт, информация о
котором была опубликована в бюллетене
http://go.microsoft.com/fwlink/?LinkId=53511
MS05-054, можно с
http://www.microsoft.com/downloads/details.aspx?familyid=C0DF2FC3-2075-46B5-945F-6E0BD6806151&displaylang=en
этой страницы.

NetVamp 2006-02-18 00:13:34 (#517041)

Привет, All!

Корпорация Microsoft опубликовала
http://www.microsoft.com/technet/security/Bulletin/MS06-007.mspx
уведомление о том, что инсталляция одного из патчей, выпущенных в
рамках февральского обновления программных продуктов, у многих
пользователей могла пройти некорректно.

Речь идет о http://security.compulenta.ru/252393/
дыре в операционных система Windows ХР и Windows Server 2003, которая
позволяет организовать DoS-атаку на удаленный компьютер посредством
сформированных специальным образом IGMP-пакетов (Internet Group
Management Protocol - протокол управления группами в интернете). Брешь
описана в бюллетене MS06-007 и охарактеризована как важная.

Вскоре после появления соответствующих заплаток выяснилось, что даже
их загрузка в ряде случае может не решать проблемы. Причем, как
отмечает Microsoft, дело не в самом обновлении, а в том, как оно
устанавливается. Брешь могла остаться, если загрузка производилась
через службы Automatic Updates, Windows Update, Windows Server Update
Services (WSUS) и Systems Management Server 2003 с использованием
инструментария Inventory Tool for Microsoft Updates (ITMU).
Пользователям сервисов Windows Update, WSUS и Systems Management
Server 2003, скачавшим патчи до 20:30 по тихоокеанскому времени во
вторник, необходимо повторить процедуру обновления. Повторная
установка заплатки через Automatic Updates будет произведена
автоматически.

В минувший вторник корпорация Microsoft выпустила семь патчей для
своих программных продуктов. Один из них
http://security.compulenta.ru/252391/
устраняет критическую уязвимость в браузере Internet Explorer, а
оставшиеся - дыры различной степени опасности в операционных системах
Windows, приложениях Office и медиаплеере Windows Media Player.

NetVamp 2006-02-18 00:13:14 (#517038)

Привет, All!

Корпорация Microsoft выпустила очередную порцию патчей для своих
программных продуктов. Дыры обнаружены в операционных системах Windows
последних версий, офисных приложениях и медиаплеере Windows Media
Player.

Наибольшую опасность представляет уязвимость в Windows Media Player.
Проблема
http://www.microsoft.com/technet/security/Bulletin/MS06-005.mspx
связана с особенностями обработки медиаплеером графических файлов в
формате BMP. Для реализации нападения злоумышленнику необходимо
вынудить жертву открыть при помощи уязвимого приложения сформированное
особым образом изображение, которое, например, может быть размещено на
веб-сайте в интернете. Дыра теоретически обеспечивает возможность
выполнения на удаленном компьютере произвольных операций, в связи с
чем была охарактеризована как критически опасная. Заплатки
настоятельно рекомендуется установить пользователям Windows Media
Player версий 7.1, 9 и 10.

Кроме того, произвольный код в системе может быть выполнен в том
случае, если плагин Windows Media Player применяется для
воспроизведения мультимедийного контента через альтернативные браузеры
(Internet Explorer данная проблема не затрагивает). Сценарий атаки
сводится к созданию вредоносной веб-страницы, на которую злоумышленник
должен заманить жертву. Заплатки
http://www.microsoft.com/technet/security/Bulletin/MS06-006.mspx
выпущены для операционных систем Windows 2000, Windows ХР и Windows
Server 2003. Брешь получила статус важной.

Еще две дыры, охарактеризованные корпорацией Microsoft как важные,
обнаружены в модификациях Windows ХР и Windows Server 2003 (в том
числе 64-разрядных вариантах ОС). Одна из ошибок
http://www.microsoft.com/technet/security/Bulletin/MS06-008.mspx
выявлена в службе Web Client service, и может эксплуатироваться
авторизованным пользователем с целью выполнения на компьютере
произвольных действий. Вторая дыра
http://www.microsoft.com/technet/security/Bulletin/MS06-007.mspx
позволяет организовать DoS-атаку на удаленный компьютер посредством
сформированных специальным образом IGMP-пакетов (Internet Group
Management Protocol - протокол управления группами в интернете).

Уязвимость, связанная с системой преобразования символов IME (Input
Method Editor) для корейского языка, предоставляет злоумышленникам
возможность повысить уровень своих привилегий. Данная брешь
http://www.microsoft.com/technet/security/Bulletin/MS06-009.mspx
присутствует в операционных системах Windows последних версий, а также
приложениях Microsoft Office 2003.

Наконец, еще одна дыра, охарактеризованная как важная, позволяет
получить несанкционированный доступ к данным, хранящимся в папке
временных файлов интернета (Temporary Internet Files). Для реализации
атаки нападающему необходимо разместить на веб-сайте сформированную
особым образом презентацию PowerPoint и затем заманить на этот сайт
жертву. Брешь
http://www.microsoft.com/technet/security/Bulletin/MS06-010.mspx
присутствует в приложении PowerPoint 2000.

NetVamp 2006-02-18 00:13:10 (#517037)

← Февраль 2006 →

3 03.02.2006 01:32:45 03:07:38 23:19:00

9 09.02.2006 02:16:49 23:07:10 23:07:18 23:07:23

18 18.02.2006 00:13:03 00:13:10 00:13:14 00:13:34

20 20.02.2006 22:25:12 22:26:43 22:27:18

24 24.02.2006 21:46:39 21:46:59

Привет, All!

Выступая на конференции RSA 2006 в Сан-Хосе (штат Калифорния),
основатель корпорации Microsoft Билл Гейтс
http://www.microsoft.com/presspass/press/2006/feb06/02-14RSA06KeynotePR.mspx
отметил, что в будущей операционной системе для персональных
компьютеров Windows Vista будет реализована новая система безопасности
под названием InfoCard.

http://www.computerra.ru/upload/iblock/53d/infocard.jpg
Демонстрация работы системы InfoCard

Концепция InfoCard в перспективе должна будет заменить применяющиеся в
настоящее время для идентификации пользователей пароли. Microsoft уже
неоднократно подчеркивала, что традиционные пароли являются одним из
слабых мест в современных системах защиты. В 1999 году Microsoft
предложила службу аутентификации Passport. Однако из-за того, что всю
конфиденциальную информацию в системе Passport фактически могла
контролировать сама корпорация, в универсальный инструментарий
идентификации данная система так и не превратилась.

InfoCard предполагает создание централизованной системы управления
разнообразной персональной информацией. Новую концепцию можно сравнить
с бумажником, в котором хранятся различные кредитные карты. В ходе
демонстрации возможностей InfoCard корпорация Microsoft показала, как
пользователь может при помощи автоматически сгенерированной карты
InfoCard войти на веб-сайт компании, дающей автомобили напрокат, а
затем посредством другой карты получить скидку.

Поддержка InfoCard, как http://news.com.com/2100-7355_3-6039177.html
сообщает CNET News, будет реализована в браузере Internet Explorer 7.
Впрочем, вряд ли стоит ожидать, что система InfoCard сразу вытеснит
пароли. Скорее всего, на адаптацию технологии уйдет далеко не один
год.

На конференции RSA 2006 Билл Гейтс также упомянул другие средства
безопасности, которые, как ожидается, войдут в состав Windows Vista.
Основатель Microsoft, в частности, назвал встроенные средства
обнаружения шпионских программ и http://soft.compulenta.ru/249120/
двунаправленный брандмауэр, позволяющий блокировать не только
входящий, но и исходящий трафик.

NetVamp 2006-02-18 00:13:03 (#517036)