Одним выстрелом новое исправление убивает даже не двух, а сразу трех “зайцев”. Среди них две уязвимости, информация о которых является приватной, и еще одна уязвимость, информация о которой все же была распространена. Все это стало возможным благодаря тому, что все три проблемы, которые могут привести к удаленному исполнению кода и дают атакующему всю полноту прав (включая разрешение на установку/удаление программ и на создание новых аккаунтов), содержаться в протоколе Microsoft Server Message Block (SMB).
При этом опасности, по сообщению Microsoft, подвергаются пользователи Windows 2000, Windows XP (x86 и x64), Windows Server 2003 (x86 и x64), Windows Vista (x86 и x64), and Windows Server 2008 (x86 и x64). Однако установка нового исправления, которое по сообщению разработчика подтверждает верность полей внутри SMB пакетов, позволяет избежать всех возможных проблем.
Вы, возможно, спросите, как быть с Windows 7? На этот вопрос Microsoft заявила, что Windows 7 подвержена только уязвимости отказа в обслуживании SMB Validation Denial of Service (CVE-2008-4114) и, как и Windows Vista и Windows Server 2008, получит рейтинг средней опасности (Moderate). Связано это с тем, что для успешного выполнения атаки при использовании данной уязвимости атакующему потребуется аутентифицироваться. “Через Windows Update обновления безопасности для бета-версий Windows мы поставляем только для критических проблем. Поэтому уязвимость Validation Denial of Service Vulnerability (CVE-2008-4114) будет решена в следующем публичном релизе Windows 7”, заявила компания.
Все это, в совокупности с ошибкой повреждения MP3, может привести к различным спекуляциям на тему того, что Microsoft совершенно не беспокоится об исправлении бета-версии. Тем не менее, мы не согласны с таким решением компании – ведь скачали и установили Windows 7 Beta уже миллионы пользователей по всему миру. Остается лишь надеяться, что за таким решением компании лежит скорый будущий выпуск релизового кандидата операционной системы.
Комментарии (0)