Kritická chyba pro servery i prohlížeče od Microsoftu

Kvůli chybě v MDAC jsou ohroženy webové servery i normální Windows. Windows XP jsou zdá se v bezpečí. Otevírá se prostor pro další vlnu červů a šíření virů.
MDAC (Microsoft Data Access Components) se na platformě Windows stará o databázovou konektivitu. Jedná se jednu ze základních technologií a tak se vyskytuje na velké většině počítačů se systémy Microsoftu. Standardně se instaluje ve Windows XP, 2000 a Millenium, je také ve Windows NT 4.0 Option Packu. Některé komponenty MDAC, bohužel ty s chybou, jsou obsaženy i v Internet Exploreru a tak jsou postiženy prakticky všechny systémy.

Chyba se týká MDAC ve verzích 2.1, 2.5 a 2.6. Ve Windows XP je již MDAC 2.7 a to je v pořádku.

Chyba, kterou nalezli ve Foundstone Research Labs, se týká konkrétně RDS (Remote Data Services). RDS slouží ke vzdálenému přístupu k datům přes Internet. Obecně se RDS skládá ze dvou technologií, Data Space a Data Control. Chyba v MDAC se týká objektu DataSpace, kde RDS vystupuje jako mezivrstva mezi spouštěním souborů na serveru a webovým rozhraním. Kvůli nesprávnému zacházení s řetězci je ale možné poslat příliš dlouhý povel po internetu, který způsobí přetečení bufferu a umožní získat kontrolu nad vzdáleným systémem.

Toto se týká nejen webových serverů, ale i Internet Exploreru, kde je nutné aby uživatel navštívil (či případně v nezabezpečeném Outlooku otevřel) HTML stránku, která si vyžádá ze serveru data a obratem dostane nekorektní odpověď spouštějící zase přes přetečení bufferu přístup k danému počítači.

Dobrou zprávou je, že i když je na serveru instalováno MDAC, musí být zapnuto i RDS a to ve výchozí konfiguraci neplatí. Přesto Microsoft označuje pro servery i klientské systémy tuto chybu jako kritickou. Kritická je i přesto, že Microsoft upravil svůj systém hodnocení a dřívější kritické chyby bude nyní dělit na kritické a závažné. Kritické budou jen ty chyby, které lze zneužít k útokům většího rozsahu ve stylu Nimdy či Code Red. Takže tato je podobně zneužitelná.

Pro všechny postižené systémy je k dispozici záplata.

Diskuze (27) Další článek: MIDI též k notebooku

Témata článku: Windows, Prohlížeče, Servery, Povel, Kritická chyba, Chyba, Prohlížeč

Určitě si přečtěte


Aktuální číslo časopisu Computer

Jak rychlé je nabíjení bez drátů?

Test 11 sluchátek pro hráče

Aplikace, které vám zachrání dovolenou

Kompletní přehled datových tarifů