|
Welcome to Salomon |
||
|
|
Во вторник Microsoft выпустила патчи, исправляющие не менее 20 ошибок в Windows. Некоторые из них делают отдельные версии операционной системы уязвимыми к новым червям или вирусам. По крайней мере шесть ошибок подвергают ОС риску воздействия программ, подобных червю MSBlast, который с августа прошлого года заразил свыше 8 млн компьютеров. Еще одна затрагивает общий файл, используемый программами Internet Explorer, Outlook и Outlook Express, и позволяет создать вирус, который исполняется, если пользователь кликнет на подготовленной определенным образом гиперссылке. Софтверный гигант выпустил четыре поправки для устранения 20 проблем безопасности в рамках своего графика ежемесячных обновлений. Microsoft не уточняет степень риска, утверждая лишь, что компании, установившие обновление, будут вне опасности. «Для тех, кто пользуется персональным брандмауэром, риск, связанный с многими из этих уязвимостей, ниже, — говорит менеджер программы обеспечения безопасности Microsoft Security Response Center Стивен Тулуз. — Но мы, безусловно, считаем их серьезными». Самый крупный патч, MS04-011, исправляет не менее 14 ошибок. Брешь в защите Help and Support Center затрагивает как Windows 2003, так и Windows ХР. Другая ошибка, в формате изображений Windows Meta File, позволяет злоумышленникам перехватить управление компьютером под Windows NT, 2000 или ХР при помощи графического файла. По крайней мере шесть из 14 дефектов можно использовать для дистанционного управления Windows-компьютером без ведома пользователя. По словам Тулуза, вместо поэтапного подхода Microsoft дожидалась готовности некоторых патчей, чтобы выпустить более полный набор поправок. «Вместо того чтобы предлагать те же файлы через три месяца, мы постарались предоставить заказчикам единое обновление, содержащее все поправки», — сказал он. Однако некоторые эксперты критикуют софтверного гиганта за то, что он заставляет дожидаться общего обновления, исправляющего сразу много ошибок. По их словам, стратегия Microsoft больше ориентирована на public relations, чем на удобство для заказчиков. «Эти выпуски подтверждают тенденцию, характерную для отношения Microsoft к безопасности в последнее время: они оставляют заказчиков уязвимыми на долгое время, пытаясь объединить поправки, чтобы создать впечатление меньшего количества уязвимостей, — говорит главный специалист eEye Digital Security Марк Мейфрет. — Это абсолютно неприемлемо». eEye Digital Security обнаружила шесть ошибок из тех, о которых объявлено во вторник. Компания призывает пользователей Windows установить обновление как можно скорее. Мейфрет уже критиковал Microsoft за то, что на исправление ошибок у нее уходит аж 200 дней. По его словам, последние поправки готовились целых 216 дней. Другие эксперты по безопасности настроены менее критически. «Нельзя обобщать, будто Microsoft слишком долго исправляет ошибки, — сказал главный технолог компании Qualys, специализирующейся на оценке уязвимостей, Герхард Эшелбек. — Это зависит от того, в каком месте кода находится дефект». Qualys обнаружила две уязвимости из тех, о которых Microsoft объявила во вторник. Ошибку в библиотеке сетевого кода, общую для многих версий Windows, Microsoft исправила всего за два месяца, подчеркнул Эшелбек. У компании уже была практика, так как в феврале eEye Digital Security обнаружила другую ошибку в той же самой библиотеке. «Многие ошибки из данного релиза происходят от тех, о которых мы уже знаем, — отметил Эшелбек. — Обычно, когда кто-то находит ошибку в том или ином коде, многие исследователи начинают искать в том же самом месте». Именно так случилось с ошибкой, которая привела к появлению червя MSBlast. Второй, аналогичный дефект был обнаружен в октябре, но Microsoft устранила его только теперь. Эшелбек уверен, что софтверный гигант поступает правильно, выпуская единственный патч для всех пробелов в защите одних и тех же компонентов ПО, вместо того, чтобы в срочном порядке устранять их по одному. Qualys установила, что у половины компаний на установку наиболее критических поправок уходит не менее 30 дней. Поэтому важно облегчить этот процесс. «Это единственный патч, выходящий в запланированный день. Все знают, что у Microsoft сегодня день обновлений. По-моему, так и должно быть». Эшелбек рекомендует компаниям установить по крайней мере первый патч Microsoft до конца недели. Информацию обо всех четырех обновлениях можно получить на веб-сайте Microsoft.
Salomon |
|
|
|
||
Designed By: Salomon
Copyright 2004 Salomon site