Потенциальным компьютерным вторжением является запуск переполнения буфера, когда используется анимационный курсор. Подобный дефект был обнаружен в начале 2005 года, однако он не оказал существенного влияния на сервисный пакет 2 для Windows XP. Новый сбой, обнаруженный в лабораториях McAfee's Avert, может повлиять на сервисный пакет 2 для XP и Windows Vista, а также на сервисный пакет 4 для Windows 2000 SP4 версии Windows Server 2003 с начальных выпусков и до сервисного пакета 1.
Видеозапись данного инцидента, сделанная лабораториями Avert Labs и направленная в YouTube, показывает ОС Vista, когда тестовый файл явно старается загрузить анимированный пользовательский курсор. Когда ОС обнаруживает сбой, она сперва старается сохранить важные сведения до перезагрузки – это одна из последних особенностей Vista. Затем она информирует пользователя, что Windows Explorer дал сбой.
В eEye говорят, что их временный патч предотвращает возникновение «дыры», но не решает проблемы.
"Почти год назад мы выпустили один из первых патчей, заранее обеспечив пользователей Windows временной защитой от серьезных уязвимостей вроде «дня 0»; и опять мы занимаемся тем же самым", – прокомментировал один из основателей eEye Марк Майфретт. – "В отличие от обнаруженных в прошлом году уязвимых мест в JScript, не существует эффективных средств сдерживания уязвимости от «дня 0». Поэтому, мы предлагаем всем пользователям Windows воспользоваться нашим бесплатным патчем, пока не будут найдены более эффективные пути защиты".
Microsoft, со своей стороны, заявила в четверг, что она активировала свой Software Security Incident Response Process (ответ на сбои системы безопасности программного обеспечения), а также выпустила информационный бюллетень безопасного использования данного элемента. В компании заявили, что одним из способов атаки может стать подгрузка этого злосчастного анимированного курсора в электронное сообщение.
"Наиболее потенциальным вариантом атаки, использующим слабость этого места, станет внедрение файла .ANI на HTML веб-страничку. Это позволит заразе внедриться при минимальном участии пользователя путем привлечения его внимания к ссылке, предлагающей посетить вредоносный сайт", – заявляет eEye. – "Другими векторами внедрения могут послужить приложения Microsoft Office, поскольку они в своей работе опираются на все то же внедрение кода .ANI, создавая при этом предпосылку получения электронных сообщений с вредоносными приложениями Microsoft Office".
При последующем обновлении Microsoft подтвердила, что пользователи Outlook Express не будут защищены, даже если отключат HTML-письма. Пользователи Outlook 2007 защищены также, как пользователи Windows Mail на Vista, поскольку они не отвечают на вредоносные письма и не перенаправляют их.
Патч для «дня 0» от компании eEye можно свободно загрузить с веб-сайта компании. Компания Microsoft еще не сказала, когда она выпустит «лекарство», хотя следующий «патч-вторник» намечен на 10 апреля. Компания смогла бы выпустить внеочередное обновление, если получит подтверждение серьезности проблемы.
Комментарии (0)