Microsoft alarmuje o dziurze w Windowsach

Microsoft ostrzega przed luką znalezioną we wszystkich supportowanych przez korporację desktopowych i serwerowych wersjach systemów Windows, a konkretnie: Windows XP, Windows Vista, Windows 7 oraz Windows Server 2003 i 2008.

Luka pozwala na wykonanie złośliwego skryptu za pośrednictwem strony WWW. Dziura wynika z błędnej interpretacji wiadomości w formacie MIME przez komponent obsługujący MHTML . Aby wykorzystać lukę, atakujący musi skierować ofiarę na specjalnie spreparowaną witrynę.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

28 odpowiedzi na „Microsoft alarmuje o dziurze w Windowsach”
  1. Awatar marcinsud
    marcinsud

    Działa to niezależnie od przeglądarki?

    1. Awatar moher
      moher

      Na niebezpieczniku napisali, że na IE i Operze.

      1. Awatar mariusz
        mariusz

        A w komentach stwierdzili, ze Opere podejzewaja jedynie dlatego, ze tez implementuje ten standard. Watpie (i nie tylko ja) zeby tak multiplatformowa przegladardka wykorzystywala parser MS jak moga miec wlasny niezalezny od platformy.

  2. Awatar anonymous
    anonymous

    Po pierwsze, Microsoft nie "alarmuje", tylko zwyczajnie informuje. Nie zauważyłem alarmującego tonu w advisory.

    Po drugie, skoro to Microsoft informuje, to proszę linka do źródła, a nie do jakiegoś trzeciego serwisu: http://www.microsoft.com/technet/security/advisor…

    Po trzecie, brak w newsie informacji o zagrożeniach powodowanych przez lukę, samo "możliwość wykonania skryptu" to trochę za mało.

    Po czwarte, żeby news był kompletny, przydałaby się informacja o braku łatki oraz o możliwych tymczasowych rozwiązaniach (opisane w advisory w punkcie "suggested actions").

    Pozdrawiam,

    1. Awatar o_O
      o_O

      Zawsze informuje, bo żeby alarmować to trzeba by jeszcze się przejmować swoimi użytkownikami.

  3. Awatar o_O
    o_O

    Ja już dawno alarmowałem o dziurach w windowsach to mało kto słuchał.
    A teraz microsoft potwierdza moje słowa. Pewnie windowsowym fanboyom jest łyso.

    Więc powtarzam za microsoftem: windows to dziurawy, niebezpieczny i źle zaprojektowany systemik. Lepiej i bezpieczniej używać Linuksa.

    1. Awatar tt6x
      tt6x

      Tyle ze ty nie masz argumentów ani wiedzy by ktokolwiek miał cię słuchać.
      W linuksie też są dziury. I co, linuksowym fanbojom łyso?
      Źle zaprojektowany – co konkretnie?

      A tak poza tym to chciałem powiedzieć że intensedebate to syf.

      1. Awatar sprae
        sprae

        Przez jaki komitet? To całkiem odwrotne podejście. Zapotrzebowanie gospodarują głównie zainteresowani, a komitet jedynie zatwierdza. Myślę, że nikt nie wie nawet co będzie za rok w kernelu bo nie zależy to od nich.
        Co do projektowania, to pamiętam jak w twoim programie był binarny nagłówek do XMLa.

      2. Awatar Sławek
        Sławek

        Dla przykładu model COM korzysta z pamięci współdzielonej, co jest główną przyczyną wad.

        1. Awatar konski_pytong
          konski_pytong

          dlatego jest COM+

      3. Awatar Omen
        Omen

        zgadzam się są dziury bo przecież znajdują je ludzie. Co konkretnie? Domyślne ustawienia systemu(i ze tak powiem projekt architektoniczny robiony pod to żeby było wygodnie a bezpiecznie już nie do końca), pierwsze konto z uprawnieniami administracyjnymi i w przypadku wielkiej części społeczeństwa normalna praca na takim. Pomimo jakiś czas temu wprowadzonego UAC'a sytuacja praktycznie się nie zmieniła bo ludzie odruchowo bez patrzenia zaklikują "Tak" i praktycznie każda aplikacja może narobić szkód w systemie. Natomiast w linuxie sprawa wygląda inaczej bo tu domyślnie jest rozgraniczenie na roota i użytkownika i jak tu dalej sprawa wygląda chyba już nie muszę tłumaczyć? Jeśli w linuxie człowiek już coś zmara to praktycznie z pełną świadomością to robi na zasadzie a może się uda przeforsować jakieś kretyńskie ustawienie. W każdym systemie można znaleźć jakieś błędy, ale proszę nie twierdź że windows nie jest źle zaprojektowany.

      4. Awatar FS1
        FS1

        intensedebate jakies argumenty dlaczego to syf?:D

        1. Awatar tt6x
          tt6x

          Ładuje się godzinami i wymaga włączonego js. Poza tym czuję jakby był nieźle przeładowany.

          1. Awatar Theq
            Theq

            Wyłączanie Javascriptu w 2011 to paranoja.

          2. Awatar morsik
            morsik

            Ale głupoty prawisz… jak nie masz JS, to ładuje się domyślny system komentarzy WordPressa, i dostęp do wszystkich komentarzy masz nadal.

    2. Awatar _DerDevil_
      _DerDevil_

      Windows NT nie jest źle zaprojektowany. Tylko że Microsoftu jest główną wadą tego systemu.

      I raczej nie ma co nawet marzyć ze powstanie kiedyś system który nie będzie posiadał ani jednej dziury.

      1. Awatar o_O
        o_O

        Ani jednej dziury może i nie.

        Ale za to może być warstwowy, przez co dla zrealizowania ataku potrzeba by sporo więcej dziur lub błędów zabezpieczeń.

        Windows to jeden wielki blob, a microsoft specjalnie niszczy w nim warstwowość, aby utrudnić modyfikację środowiska i zachować pseudostandaryzację.

        UNIX/Linux jest idealnie podzielony na warstwy, gdzie każda z nich jest interfejsem wyłącznie dla warstw wyższych.
        Windows to poplątanie warstw i usług, w których gubi się już sam microsoft.

        W tym tragicznym amatorskim systemiku microsoftu nawet GUI jest wbudowane w samo jądro systemu – dno. Próbowali ostatnio robić windowsa konsolowego, i szybko się okazało, że jedynie ukrywają GUI pod "tekstową" konsolą.

        1. Awatar marek
          marek

          nie karmić trolla o_O.

      2. Awatar Omen
        Omen

        dopóki człowiek będzie go robił to na pewno zawsze jakaś się znajdzie;)

      3. Awatar pixel88
        pixel88

        "Najdoskonalszy program ma błędy" ~ Tao

    3. Awatar 123qwe
      123qwe

      "Więc powtarzam za microsoftem: windows to dziurawy, niebezpieczny i źle zaprojektowany systemik. Lepiej i bezpieczniej używać Linuksa."
      http://www.exploit-db.com/platform/?p=linux

      Ooo zesz sic, chyba musze zaczac uzywac xxxBSD, bo nie jestem bezpieczny na windowsie i linuxie..
      http://www.exploit-db.com/platform/?p=bsd

      Sic mam BSD i nadal jestem narazony na ataki buuu.. tak nic innego nie pozostaje jak Solaris dobrze, ze ma sterowniki do mojej nvidi.. uff.
      http://www.exploit-db.com/platform/?p=solaris

      uuuu.. tak co zostaje mi HP-UX, AIX na desktop?!

      Wniosek: BEZPIECZNIEJ jest NIE używać komputera!!!

    4. Awatar Rsh
      Rsh

      Biorąc pod uwagę, że Linux w ogóle nie jest zaprojektowany to trochę dziwnie brzmią te słowa. Niemniej jednak używam Linuksa i jestem zadowolony. Linux też ma dziury i ma ich dużo.

      1. Awatar konski_pytong
        konski_pytong

        Masz racje linuks to frywolna twórczość – raz grafika działa w oparciu o to a raz o to, dźwięk podobnie – standardów próżno szukać, słowem wszelkie rozwiązania to protezy na base-system który z założenia miał być tylko tekstowy. Co ważne część tych protez spisuje się naprawdę dobrze, drugą część przemilczę, bo i tak zaraz znajdzie się ktoś kto powie – u mnie działa 😀

        1. Awatar ktoś_kto_mówi
          ktoś_kto_mówi

          Nie wiem co przemilczałeś, ale u mnie działa 😉

  4. Awatar pioruns
    pioruns

    Zapomnieli dodać, że trzeba wejść na spreparowaną stronę przez IE albo Operę, tylko one są podatne.

  5. Awatar Pawel
    Pawel

    informuje i daje fixa : http://support.microsoft.com/kb/2501696

    1. Awatar anonymous
      anonymous

      Nie daje fixa, tylko tymczasowe obejście (kompletne wyłączenie MHTML), o czym jasno uprzedzają na powyższej stronie:
      "Rozwiązanie w postaci poprawki automatycznej opisane w tej sekcji nie zastępuje żadnej aktualizacji zabezpieczeń. (…) To rozwiązanie w postaci poprawki automatycznej jest udostępniane jako opcja obejścia problemu w niektórych scenariuszach."

  6. Awatar anonymous
    anonymous

    http://heise-online.pl/-1181049.html

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *