В среду, 9 июля, Microsoft предупредила о трех новых пробелах в защите своего ПО, в том числе о "критической" ошибке Windows, позволяющей хакерам несанкционированно исполнять программы на чужих ПК.
Наиболее серьезная из ошибок представляет собой так называемую ошибку переполнения буфера, используя которую злоумышленник может поместить в неконтролируемый буфер нужный ему код и исполнить его.
Эта ошибка обнаружена в HTML-конверторе операционной системы Microsoft Windows. Хакеры могут пользоваться ею, рассылая код в HTML-письмах или создав специальную веб-страницу, запускающую процесс загрузки кода.
Так как для использования уязвимости никаких действий пользователя не требуется, Microsoft называет ее критической, что соответствует наивысшей степени опасности по четырехуровневой шкале софтверного гиганта.
Ошибка присутствует в Windows XP, Windows 2000, Windows 98, Windows 98 Second Edition, Windows Me, Windows NT 4.0 Server и Windows Server 2003
Ошибка присутствует во многих последних версиях Windows, включая Windows XP, Windows 2000, Windows 98, Windows 98 Second Edition, Windows Me, Windows NT 4.0 Server и Windows Server 2003.
Однако для Windows Server 2003 ей присвоен средний (moderate) уровень опасности, так как эта версия ОС поставляется в так называемой конфигурации Enhanced Security Configuration, минимизирующей риск несанкционированного запуска программ.
Microsoft опубликовала на своем веб-сайте патч, устраняющий эту уязвимость.
"Мы хотим, чтобы все обязательно защитили свои компьютеры, установив этот патч", - сказал Стивен Тулуз из Microsoft Security Response Center. По его словам, компания узнала об ошибке в прошлом месяце, когда информация о ней появилась в нескольких списках почтовой рассылки.
В других бюллетенях Microsoft говорится о двух ошибках, квалифицируемых как "важные". Первая тоже связана с проблемой переполнения буфера в Windows NT, Windows 2000 Server и Windows XP. Она относится к протоколу Server Message Block (SMB), используемому операционной системой для общего доступа к файлам и принтерам и для других целей.
Последнее предупреждение касается ошибки менеджера утилит Windows 2000, которая позволяет пользователю повысить уровень своих системных привилегий.
Эти очередные предупреждения в серии периодических секьюрити-бюллетеней Microsoft за этот год имеют порядковые номера 23, 24 и 25. В прошлом месяце компания выпустила поправки для двух брешей в защите своего медиа-ПО. В мае Microsoft предупредила о наличии уязвимостей в Internet Information Services (IIS), напоминает ZDnet.ru.