Kritická chyba pro servery i prohlížeče od Microsoftu

Kvůli chybě v MDAC jsou ohroženy webové servery i normální Windows. Windows XP jsou zdá se v bezpečí. Otevírá se prostor pro další vlnu červů a šíření virů.
MDAC (Microsoft Data Access Components) se na platformě Windows stará o databázovou konektivitu. Jedná se jednu ze základních technologií a tak se vyskytuje na velké většině počítačů se systémy Microsoftu. Standardně se instaluje ve Windows XP, 2000 a Millenium, je také ve Windows NT 4.0 Option Packu. Některé komponenty MDAC, bohužel ty s chybou, jsou obsaženy i v Internet Exploreru a tak jsou postiženy prakticky všechny systémy.

Chyba se týká MDAC ve verzích 2.1, 2.5 a 2.6. Ve Windows XP je již MDAC 2.7 a to je v pořádku.

Chyba, kterou nalezli ve Foundstone Research Labs, se týká konkrétně RDS (Remote Data Services). RDS slouží ke vzdálenému přístupu k datům přes Internet. Obecně se RDS skládá ze dvou technologií, Data Space a Data Control. Chyba v MDAC se týká objektu DataSpace, kde RDS vystupuje jako mezivrstva mezi spouštěním souborů na serveru a webovým rozhraním. Kvůli nesprávnému zacházení s řetězci je ale možné poslat příliš dlouhý povel po internetu, který způsobí přetečení bufferu a umožní získat kontrolu nad vzdáleným systémem.

Toto se týká nejen webových serverů, ale i Internet Exploreru, kde je nutné aby uživatel navštívil (či případně v nezabezpečeném Outlooku otevřel) HTML stránku, která si vyžádá ze serveru data a obratem dostane nekorektní odpověď spouštějící zase přes přetečení bufferu přístup k danému počítači.

Dobrou zprávou je, že i když je na serveru instalováno MDAC, musí být zapnuto i RDS a to ve výchozí konfiguraci neplatí. Přesto Microsoft označuje pro servery i klientské systémy tuto chybu jako kritickou. Kritická je i přesto, že Microsoft upravil svůj systém hodnocení a dřívější kritické chyby bude nyní dělit na kritické a závažné. Kritické budou jen ty chyby, které lze zneužít k útokům většího rozsahu ve stylu Nimdy či Code Red. Takže tato je podobně zneužitelná.

Pro všechny postižené systémy je k dispozici záplata.

Diskuze (27) Další článek: MIDI též k notebooku

Témata článku: Windows, Prohlížeče, Servery, Povel, Chyba, Prohlížeč, Kritická chyba


Určitě si přečtěte

Vylaďte si Wi-Fi: Podívejte se, jaká pásma máte doma volná a kam signál nedosáhne

Vylaďte si Wi-Fi: Podívejte se, jaká pásma máte doma volná a kam signál nedosáhne

** Prozkoumejte, jaké pásmo je pro vaši síť nejlepší ** Díky heat mapě snadno poznáte, kde to bude se signálem horší ** Vše zvládnete i z mobilního telefonu

Vladislav Kluska | 36

Dell XPS 13: Když vás ostatní doženou až za tři roky

Dell XPS 13: Když vás ostatní doženou až za tři roky

** XPS 13 nastartoval trend notebooků bez rámečků ** Letošní model kompletně přechází na USB-C ** Navzdory malému tělu se řadí výkon ke špičce

Tomáš Holčík | 34

PortraitPro: Vyzkoušeli jsme program, který prý udělá z každé „žáby“ krasavici

PortraitPro: Vyzkoušeli jsme program, který prý udělá z každé „žáby“ krasavici

** V digitálním světě nemůžete věřit všemu ** Nová generace 3D fotoeditorů zvládne divy ** Vyzkoušeli jsme PortraitPro, který vám změní i kontaktní čočky

Jakub Čížek | 10

Nová americká jaderná puma změní strategii boje

Nová americká jaderná puma změní strategii boje

** Bombardér Northrop Grumman B-2 Spirit amerického letectva nedávno svrhl jadernou pumu ** Šlo o test nové varianty pumy B61-12 ** Ta by měla mít hlavice schopné explodovat se silou 0,3 až 50 kilotun

Stanislav Mihulka | 63


Aktuální číslo časopisu Computer

Jak vytvořit a spravovat vlastní web

Velký test herních klávesnic a DVB-T2 tunerů

Vše o formátu RAW

Vybíráme nejlepší základní desku