10 апреля Microsoft выпустила "критический" секьюрити-патч для своего ПО Web- сервера, устраняющий 10 новых лазеек, через которые хакеры могут получить полный контроль над компьютерами с установленной программой Internet Information Server (IIS).

Microsoft рекомендует немедленно установить этот патч всем заказчикам, Web- сайты которых функционируют на операционных системах Windows NT 4.0, Windows 2000 или Windows XP Professional. "Это действительно очень важно", - сказал менеджер Microsoft Security Response Center Скотт Калп (Scott Culp), добавив, что компания постарается как можно быстрее довести подробные инструкции до всех, кто эксплуатирует IIS 4.0, 5.0 или 5.1.

Три поправки Microsoft называет критическими для всех трех версий IIS и одну - для IIS 4 и 5. Другим новым уязвимостям присвоен средний или низкий уровень опасности. В прошлом подобные лазейки в широко распространенном ПО приводили к тому, что многие Web-серверы подвергались атакам, например, червя Code Red.

Однако есть сообщения, что и сам новый патч вызывает проблемы на некоторых серверах. Компания SecurityFocus утверждает, что после его установки некоторые функции модуля IIS SiteServer, обеспечивающего аутентификацию пользователей и персональную настройку Web-сайта, перестают работать как следует. Представители Microsoft пока не смогли подтвердить наличие проблем, связанных с только что выпущенным патчем.

Несмотря на вновь выявленные ошибки, которые напомнили о прошлых проблемах безопасности ПО Microsoft, значительные усилия по предупреждению об этих ошибках всех заказчиков и тот факт, что две из них были обнаружены самими инженерами компании, сигнализируют о гораздо более серьезном, чем раньше, отношении Microsoft к вопросам безопасности.

В январе после обращения Билла Гейтса к сотрудникам компании в Microsoft началась так называемая инициатива Trustworthy Computing. В конце января и начале февраля компания провела 4-часовой семинар по безопасности среди почти 9000 своих разработчиков, продакт-менеджеров и тестеров. После курса обучения группы, отвечающие за каждый из более чем 70 компонентов, составляющих операционную систему Windows, проверили код на возможные проблемы безопасности.

Две проблемы, обнаруженные инженерами компании, были выявлены не в ходе той проверки, однако новый курс на обеспечение безопасности сыграл важную роль, заставив разработчиков серьезнее относиться к потенциально проблематичному коду, отметил Скотт Калп.

Секьюрити-патч является кумулятивным - он включает в себя все прочие поправки, выпущенные отдельно. Кроме того, он устраняет 10 вновь обнаруженных проблем безопасности, влияющих на IIS. IIS 5 подвержен влиянию всех новых уязвимостей, IIS 4 - девяти, а IIS 5.1 - восьми. Бета-версии .Net Server 3605 и выше уже включают эти поправки. В .Net Server входит IIS 6.

Многие из новых уязвимостей связаны с так называемым переполнением буфера или атаками типа denial-of-service, которые выводят сайт из строя. Чтобы вызвать переполнение буфера, атакующий вводит в какое-нибудь поле - как правило, в поле адреса - больше символов, чем оно может принять. В некоторых случаях лишние символы могут исполняться как программа, что позволяет злоумышленнику получить контроль над компьютером в обход мер безопасности. Microsoft рекомендует операторам IIS либо загрузить патч отдельно, либо, если они работают на Windows ХР, исправить ошибки при помощи функции автоматического обновления. Патч IIS 4 требует, чтобы на Windows NT Server был установлен Service Pack 6a. Патч IIS 5 применим к Windows 2000 с Service Pack 1 или 2. Патч IIS 5.1 Microsoft рекомендует применять к системам под Windows XP Professional.

Патч IIS 5 будет включен в Windows 2000 Service Pack 3, который проходит бета-тестирование. Поправки для IIS 5.1 будут включены в Windows XP Service Pack 1, бета-тестирование которого должно начаться в будущем месяце.

Кроме установки этих патчей, Microsoft рекомендует операторам IIS загрузить и установить модуль IIS Lockdown Tool 2.1, отключающий необязательные функции, которые, если оставить их включенными, могут стать лазейками для хакеров, сообщает "ZDNet".