Критическая уязвимость, затрагивающая всю линейку операционной системы Microsoft Windows, обнаружена в механизме выполнения скриптов Windows
[23.03.2003]
Серьезная уязвимость, отчет о которой обнародован в бюллетене MS03-008 компании Microsoft 19 марта 2003, обнаружена в механизме выполнения скриптов Microsoft Windows 98-XP. В виду ее чрезвычайной опасности для пораженных машин уязвимости присвоен статус "критической". Это уже восьмая по счету выявленная ошибка в программном обеспечении компании Microsoft обнаруженная в нынешнем году.
Уязвимыми являются следующие версии ОС Windows
Для успешного осуществления атаки нападающему необходимо убедить пользователя посетить вредоносный сайт или отослать специальным образом сконструированное почтовое сообщение в формате HTML. Автоматический запуск такого почтового сообщения невозможен в Outlook Express 6.0 и Outlook 2002 (с установками по умолчанию), а также в Outlook 98 и 2000 в сочетании с Outlook Email Security Update.
Механизм выполнения скриптов - компонент в ОС Windows, интерпретирующий и исполняющий скрипт коды, которые пишутся, в основном, Visual Basic Script или JScript. Он обеспечивает возможность запуска скрипт кода в операционной системе, который может быть использован для добавления функциональных возможностей веб-страницам или для автоматизации задач в ОС или отдельной программе. С их помощью можно, например, устанавливать переменные, работать с данными в коде HTML, проверять версии веб-браузера, используемого пользователем, работать с аплетами и элементами управления, общаться с пользователем.
Уязвимость заключается в возможности переполнения буфера, размер которого не контролируется механизмом выполнения Java-скриптов в Windows.
Для успешного проникновения в систему нападающему необходимо создать веб-страницу, которая будет содержать специальный скрипт код и разместить ее на веб-сайте. Далее ему понадобится либо каким-либо образом заставить пользователя посетить эту страницу, либо отослать эту страницу по почте в формате HTML, которая, в случае открытия почтового сообщения пользователем, попытается воспользоваться этой уязвимостью и сможет запустить на пораженном компьютере любой код.
ЗАО "ДиалогНаука" настоятельно советует пользователям всех указанных версий ОС Windows загрузить и установить на свои компьютеры патчи, опубликованные компанией Microsoft: