Kritická chyba pro servery i prohlížeče od Microsoftu

Kvůli chybě v MDAC jsou ohroženy webové servery i normální Windows. Windows XP jsou zdá se v bezpečí. Otevírá se prostor pro další vlnu červů a šíření virů.
MDAC (Microsoft Data Access Components) se na platformě Windows stará o databázovou konektivitu. Jedná se jednu ze základních technologií a tak se vyskytuje na velké většině počítačů se systémy Microsoftu. Standardně se instaluje ve Windows XP, 2000 a Millenium, je také ve Windows NT 4.0 Option Packu. Některé komponenty MDAC, bohužel ty s chybou, jsou obsaženy i v Internet Exploreru a tak jsou postiženy prakticky všechny systémy.

Chyba se týká MDAC ve verzích 2.1, 2.5 a 2.6. Ve Windows XP je již MDAC 2.7 a to je v pořádku.

Chyba, kterou nalezli ve Foundstone Research Labs, se týká konkrétně RDS (Remote Data Services). RDS slouží ke vzdálenému přístupu k datům přes Internet. Obecně se RDS skládá ze dvou technologií, Data Space a Data Control. Chyba v MDAC se týká objektu DataSpace, kde RDS vystupuje jako mezivrstva mezi spouštěním souborů na serveru a webovým rozhraním. Kvůli nesprávnému zacházení s řetězci je ale možné poslat příliš dlouhý povel po internetu, který způsobí přetečení bufferu a umožní získat kontrolu nad vzdáleným systémem.

Toto se týká nejen webových serverů, ale i Internet Exploreru, kde je nutné aby uživatel navštívil (či případně v nezabezpečeném Outlooku otevřel) HTML stránku, která si vyžádá ze serveru data a obratem dostane nekorektní odpověď spouštějící zase přes přetečení bufferu přístup k danému počítači.

Dobrou zprávou je, že i když je na serveru instalováno MDAC, musí být zapnuto i RDS a to ve výchozí konfiguraci neplatí. Přesto Microsoft označuje pro servery i klientské systémy tuto chybu jako kritickou. Kritická je i přesto, že Microsoft upravil svůj systém hodnocení a dřívější kritické chyby bude nyní dělit na kritické a závažné. Kritické budou jen ty chyby, které lze zneužít k útokům většího rozsahu ve stylu Nimdy či Code Red. Takže tato je podobně zneužitelná.

Pro všechny postižené systémy je k dispozici záplata.

Diskuze (27) Další článek: MIDI též k notebooku

Témata článku: Windows, Prohlížeče, Servery, Prohlížeč, Kritická chyba, Povel, Chyba


Určitě si přečtěte

Jak John Kemeny a Thomas Kurtz stvořili BASIC, základ novodobého programování

Jak John Kemeny a Thomas Kurtz stvořili BASIC, základ novodobého programování

** Programovací jazyk BASIC tvořil základ osobních počítačů ** Původně byl určen vysokoškolským studentům, aby vůbec byli schopni využívat univerzitní počítač ** Jeden ze spoluautorů dělal výpočtáře Einsteinovi

Pavel Tronner | 78

USB-C už mělo být všude, ale není. Tak kde to vázne?

USB-C už mělo být všude, ale není. Tak kde to vázne?

** Konektor USB-C byl představen už před čtyřmi roky ** Praktické univesrzální rozhraní však stále není rozšířeno ** Výrobcům hardwaru se do změny moc nechce

David Polesný, Vladislav Kluska | 87

eObčanka: Jak a proč si zřídit elektronický občanský průkaz s čipem

eObčanka: Jak a proč si zřídit elektronický občanský průkaz s čipem

** Občanka s čipem už je standardně vydávaným osobním dokladem v Česku ** Umožní využívat Portál občana a funkce elektronické státní správy ** Pokud ji chcete naplno využívat, musíte si čip aktivovat

David Polesný | 114

Nová zbraň proti hackerům: obrovské množství chyb v softwaru

Nová zbraň proti hackerům: obrovské množství chyb v softwaru

** Vědci vymysleli nový systém obrany proti hackerům ** Pomocí speciálního systému implementují do softwaru spoustu chyb ** Tyto chyby nejsou zneužitelné, což útočník zjistí až po čase

Karel Javůrek | 27

Kde se bere elektřina v zásuvce? Poznejte 10 tajemství venkovních stožárů s dráty

Kde se bere elektřina v zásuvce? Poznejte 10 tajemství venkovních stožárů s dráty

Elektřina se vyrábí v elektrárnách, ale do zásuvek v našich domovech to pak má ještě hodně daleko. Dnes se na tuhle dlouhou cestu podíváme.

David Polesný | 83


Aktuální číslo časopisu Computer

Jak mobily určují svoji polohu?

Velký test notebooků pro studenty

Nejlepší reproduktory na párty

Služby a aplikace pro výuku angličtiny