Xakep #305. Многошаговые SQL-инъекции
Корпорация Microsoft вчера сообщила о выпуске
трех новых бюллетеней безопасности,
ликвидирующих дыры в операционной системе
Windows, почтовом клиенте Outlook и интернет-пейджере
MSN Messenger.
Первая уязвимость, описанная в бюллетене
MS04-008, связана с компонентами Windows Media Station
Service и Windows Media Monitor, входящими в состав
службы Windows Media Services. Данная служба
используется для управления различными
мультимедийными потоками и, в частности,
видео- и аудиоданными. Отправив
составленную определенным образом
последовательность пакетов по протоколу TCP/IP,
злоумышленник может спровоцировать "зависание"
службы и провести DoS-атаку на уязвимый
сервер. Ошибка получила рейтинг умеренной
важности. Опасности подвержены компьютеры,
работающие под управлением Windows Server 2000 Service
Pack 2, Service Pack 3 и Service Pack 4.
Следующая дыра
представляет угрозу для пользователей, на
чьих машинах установлены Office XP и пакет Outlook
2002 Service Pack 2. Для проведения атаки хакеру
достаточно заманить владельца ПК на
составленный определенным образом веб-сайт
или послать ему сообщение с вредоносным
кодом по электронной почте. После просмотра
такого письма или посещения онлайновой
страницы на компьютер жертвы может быть
загружен троянский компонент или интернет-червь,
выполняющий произвольные действия (в том
числе, удаляющий файлы и меняющий настройки).
Дыра охарактеризована софтверным гигантом
как важная.
Наконец, ошибка
в приложении MSN Messenger версий 6.0 и 6.1 связана с
функцией обработки запросов на прием/отправку
файлов. Посредством специально
сформированного запроса злоумышленник
может получить доступ к компьютеру жертвы и
просмотреть персональные данные. Для этого,
правда, необходимо точно знать пароль
пользователя и имя нужного файла. Ошибка
получила рейтинг умеренно опасной.