Уязвимость, обнаруженная компанией Foundstone в общем компоненте Web- серверов Microsoft и браузера Internet Explorer, позволяет злоумышленнику перехватить управление Web-сервером, распространить вирус e-mail или создать быстро размножающегося сетевого червя.
"Существуют миллионы систем и клиентов, которых это касается, - заявил исполнительный директор Foundstone Джордж Курц (George Kurtz). - Это гигантская угроза". Foundstone первой обнаружила ошибку и помогла Microsoft в создании поправки.
Баг присутствует в компоненте Windows Microsoft Data Access Component (MDAC), который позволяет Web-серверам и браузерам соединяться с онлайновыми базами данных. По словам Курца, он столь же распространен, как те уязвимости, которые использовали вирусы Code Red и Nimda. Риску подвергаются большинство из тех 4,1 млн. сайтов, которыми управляет ПО Microsoft Internet Information Service (IIS), а также миллионы компьютеров под Windows 95, 98, Me и 2000. В соответствии со своей новой системой оценки уязвимостей, которая должна уменьшить число признанных критическими ошибок, чтобы системным администраторам было легче выделить наиболее важные пробелы в защите, Microsoft присвоила багу степень опасности critical.
"Существует вероятность появления червя, использующего эту уязвимость, - сказала менеджер программы безопасности Microsoft Security Response Center Линн Тервордс (Lynn Terwoerds). - Она действительно критически опасна... Мы хотим, чтобы патч установили как можно быстрее".
Серверы, которые работают с последней версией ПО MDAC 2.7, не содержат этой уязвимости, как и те, системные администраторы которых используют средство защиты IIS Lockdown Tool. Так как MDAC не устанавливается по умолчанию, уязвимость, возможно, распространена все же не так широко, как утверждает Foundstone.
Риску подвержены и все Windows-компьютеры с Internet Explorer 5.01, 5.5 и 6, кроме тех, на которых установлена Windows ХР, так как в них тоже используется MDAC. Правда, атаку на такие системы, по словам Тервордс, организовать сложнее. Outlook Express 6 и Outlook 2000 в конфигурациях по умолчанию неуязвимы, а другие версии клиента e-mail можно обезопасить, установив Outlook E-mail Security Update.
Microsoft опубликовала информацию об ошибке и инструкции по защите ПК и Web- серверов на своем сайте TechNet.
Однако добиться того, чтобы все системные администраторы "пропатчили" свои системы, будет довольно сложно. Недавнее исследование показало, что в случае червя Linux Slapper за те семь недель, что прошли между обнаружением уязвимости и появлением в Интернет червя Slapper, заплатки установили всего около 40% администраторов. После начала распространения червя началась новая волна "латания", которая привела к закрытию для червя еще 25- 30% систем. Примерно треть компьютеров так и остались уязвимыми.
Хотя в Интернет пока не замечены червь или атакующая программа, использующие обнаруженную уязвимость, их появление лишь дело времени, предупреждает Курц из Foundstone. Он призывает системных администраторов немедленно заняться укреплением защиты: "Нужно позаботиться об этом заранее, не дожидаясь начала всеобщего бедствия", пишет "ZDNet".
