Специалисты Microsoft вовсю трудятся над
созданием второго пакета обновлений для
операционной системы Windows XP. В конце 2003 года,
как предполагалось ранее, он не выйдет. Его
релиз был перенесен на середину 2004 года.
Причину задержки в Microsoft не называют. Весьма
вероятно, что она связана с реализацией
новых мер по обеспечению безопасности
компьютера. Подробности о возможностях
второго сервис-пака появились в библиотеке
MSDN.
В документе сообщается, что одной из
главных целей разработчиков второго сервис-пака
является обеспечение максимальной
безопасности компьютеров даже в том случае,
когда невозможна установка последних
патчей и обновлений. Работы ведутся по
четырем основным направлениям:
безопасность при работе в сети,
безопасность памяти, безопасность при
работе с электронной почтой и вебом.
Наибольшее внимание уделяется первым двум
пунктам.
Для обеспечения безопасности компьютера
при работе в сети Microsoft намеревается
усовершенствовать встроенный в Windows XP
брандмауэр, несколько изменить работу DCOM и
ограничить доступ к функции удаленного
вызова процедур (RPC). Именно с DCOM и RPC связаны
наиболее серьезные дыры, обнаруженные в
Windows в нынешнем году. В частности, в Microsoft
планируют запретить (за редкими
исключениями) анонимное обращение к
интерфейсам RPC. В случае DCOM будут
реализованы более строгие ограничения
доступа и более гибкие средства управления
данной службой.
Что касается брандмауэра, то в Microsoft
намерены сделать его активным по умолчанию.
Кроме того, он будет активироваться на
более раннем этапе загрузки операционной
системы. В новой версии брандмауэра
появится возможность создания списков
доверенных приложений, которым можно
открывать порты на прослушивание. По
окончании работы программы порты будут
автоматически закрываться. Кроме того,
брандмауэр станет совместим с программами
и службами, использующими удаленный вызов
процедур (RPC), тогда как раньше для работы с
RPC брандмауэр приходилось отключать.
Наконец, специальный защищенный режим
позволит устанавливать временную
блокировку уязвимых для атак портов до
установки снимающего уязвимость
обновления.
Повышение безопасности памяти должно
затруднить хакерам использование в своих
целях ошибок переполнения буфера. Как
правило, для использования дыр
злоумышленник вызывает функцию, приводя в
качестве аргумента чрезмерно длинное
значение, содержащее опасный код. При
переполнении буфера атакуемое приложение
зависает, а опасный код выполняется. Чтобы
не допустить этого, Microsoft намерена активнее
использовать технологию защиты от
выполнения (no execution или NX). Эта технология
позволяет помечать участки памяти (например,
те же программные буферы), код из которых не
подлежит выполнению.
Для повышения безопасности при работе с
почтой и вебом Microsoft внесет новые
усовершенствования в браузер Internet Explorer и
почтовый клиент Outlook Express. В последнем будут
приняты более надежные настройки по
умолчанию и новая система управления
вложенными файлами, чтобы блокировать
работу вирусов и червей. Аналогичные
изменения будут реализованы и в программе
Windows Messenger. Для защиты Internet Explorer будет
закрыта для доступа извне зона
безопасности "Локальный компьютер", и
усовершенствован механизм контроля
пользователя за модулями ActiveX.
