Kritická chyba pro servery i prohlížeče od Microsoftu

Kvůli chybě v MDAC jsou ohroženy webové servery i normální Windows. Windows XP jsou zdá se v bezpečí. Otevírá se prostor pro další vlnu červů a šíření virů.
MDAC (Microsoft Data Access Components) se na platformě Windows stará o databázovou konektivitu. Jedná se jednu ze základních technologií a tak se vyskytuje na velké většině počítačů se systémy Microsoftu. Standardně se instaluje ve Windows XP, 2000 a Millenium, je také ve Windows NT 4.0 Option Packu. Některé komponenty MDAC, bohužel ty s chybou, jsou obsaženy i v Internet Exploreru a tak jsou postiženy prakticky všechny systémy.

Chyba se týká MDAC ve verzích 2.1, 2.5 a 2.6. Ve Windows XP je již MDAC 2.7 a to je v pořádku.

Chyba, kterou nalezli ve Foundstone Research Labs, se týká konkrétně RDS (Remote Data Services). RDS slouží ke vzdálenému přístupu k datům přes Internet. Obecně se RDS skládá ze dvou technologií, Data Space a Data Control. Chyba v MDAC se týká objektu DataSpace, kde RDS vystupuje jako mezivrstva mezi spouštěním souborů na serveru a webovým rozhraním. Kvůli nesprávnému zacházení s řetězci je ale možné poslat příliš dlouhý povel po internetu, který způsobí přetečení bufferu a umožní získat kontrolu nad vzdáleným systémem.

Toto se týká nejen webových serverů, ale i Internet Exploreru, kde je nutné aby uživatel navštívil (či případně v nezabezpečeném Outlooku otevřel) HTML stránku, která si vyžádá ze serveru data a obratem dostane nekorektní odpověď spouštějící zase přes přetečení bufferu přístup k danému počítači.

Dobrou zprávou je, že i když je na serveru instalováno MDAC, musí být zapnuto i RDS a to ve výchozí konfiguraci neplatí. Přesto Microsoft označuje pro servery i klientské systémy tuto chybu jako kritickou. Kritická je i přesto, že Microsoft upravil svůj systém hodnocení a dřívější kritické chyby bude nyní dělit na kritické a závažné. Kritické budou jen ty chyby, které lze zneužít k útokům většího rozsahu ve stylu Nimdy či Code Red. Takže tato je podobně zneužitelná.

Pro všechny postižené systémy je k dispozici záplata.

Diskuze (27) Další článek: MIDI též k notebooku

Témata článku: Prohlížeče, Windows, Servery, Prohlížeč, Kritická chyba, Chyba, Povel


Určitě si přečtěte

Vybrali jsme 16 programovatelných hraček a stavebnic pro děti. A vlastně i pro vás

Vybrali jsme 16 programovatelných hraček a stavebnic pro děti. A vlastně i pro vás

** Získejte děti pro matematiku a základy techniky ** Kupte jim hračku nebo stavebnici, které vdechnou vlastní život ** Vybrali jsme 16 stavebnic pro nejmenší caparty i vás samotné

Jakub Čížek | 16

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

** Přečerpávací vodní elektrárna Dlouhé stráně je obdivuhodné technické dílo ** Stejná turbína vyrábí elektřinu i tlačí vodu zpět do horního jezera ** Strojovna elektrárny je zabudována v podzemí

David Polesný | 35

Nejlepší hardware: Skládáme nenáročnou sestavu i extrém na hry

Nejlepší hardware: Skládáme nenáročnou sestavu i extrém na hry

** Poradíme, jaký se teď vyplatí koupit hardware ** Procesory, desky, paměti, grafické karty... je z čeho vybírat ** Počítač ale nemusíte skládat, ukážeme i výhodné hotové počítače

Stanislav Janů | 8

Levný televizor místo drahého 4K HDR monitoru? Na co si musíte dát pozor

Levný televizor místo drahého 4K HDR monitoru? Na co si musíte dát pozor

** 43", 4K, 60 Hz a HDR k tomu za deset tisíc ** Televizor takových parametrů stojí téměř polovinu, co monitor ** Využití televize jako monitoru přináší řadu kompromisů, ale jde to

Tomáš Holčík | 63



Aktuální číslo časopisu Computer

Jak nastavit a ochránit nový mobil

Velký test bezdrátových klávesnicí a myší

Počítače v roce 2019

Srovnání barevných laserových multifunkcí