Новая критическая уязвимость в Microsoft Windows.

[21.11.2002]
Обнаружена уязвимость в Data Access Components - (MDAC) компании Microsoft, отчет о которой опубликован в бюллетене компании MS02-065 20 ноября 2002 г. Уязвимости присвоен статус "критической" в силу большой опасности для пораженных машин.

Возможность переполнения непроверяемого буфера в программных компонентах Microsoft Data Access может привести к запуску кода

Уязвимыми являются версии 2.5 и 2.6 программного компонента Microsoft Data Access Components - (MDAC) и программные приложения Microsoft Internet Explorer 5.01, 5.5., 6.0. Данная уязвимость не затрагивает пользователей операционной системы Windows XP, в которой по умолчанию установлен MDAC версии 2.7. Любой веб-сервер, даже с установленной на нем уязвимой версией MDAC подвержен риску поражения только в том случае, если на нем активирована функция RDS. В ОС Windows XP эта опция отключена по умолчанию. В других операционных системах семейства Windows данная опция может быть отключена, следуя указаниям, описанным в IIS Security Checklist. Также пользователь может установить опции для работы с меньшими привилегиями, нежели на правах администратора, что также снизит уровень доступа атакующего к серверу.

Уязвимость содержится в компоненте, который присутствует как на веб-серверах Microsoft, так и в клиентах Internet Explorer. В случае успешного проникновения на сервер злоумышленник может получить над ним полный контроль, а также массово распространять с него вирусы.

Microsoft Data Access Components (MDAC) обеспечивает соединяемость баз данных и присутствует во многих Windows - системах. По умолчанию он входит в состав Windows XP, Windows 2000 и Windows Me. MDAC является частью Windows NT 4.0 Option Pack, а некоторые компоненты MDAC присутствуют в IE даже в том случае, если MDAC не установлен в системе. MDAC обеспечивает функционирование операций с базами данных, например соединение с удаленной базой данных и возвращение данных клиенту. Один из компонентов MDAC под названием Remote Data Services (RDS) поддерживает трехзвенную архитектуру (систему клиент-сервер), в которой запрос на услугу, поступаемый от клиента из внутренней базы, обслуживается через веб-сайт. Уязвимость содержится в исполнении SRD, а именно, в функции RDS Data Stub, чьей задачей служит разбор HTTP запросов и генерация RDS команд.

Настоящей уязвимости подвержены как веб-серверы, так и веб-клиенты. В случае атаки на веб-серверы нападающий должен будет установить соединение с уязвимым сервером и отослать на него специальным образом сформированный HTTP запрос, который приведет эффекту, схожему с переполнением буфера. Запуск вредоносного кода будет происходить в контексте безопасности Internet Information Server.

Риск поражения веб-клиента в результате действия данной уязвимости существует во всех случаях, т.к. RDS Data Stub является частью всех текущих версий программного приложения Internet Explorer. В случае с интернет клиентом злоумышленнику понадобится разместить веб-страницу с которой, в случае ее открытия, будет послан HTTP ответ в пользовательскую систему и создано переполнение буфера. В качестве альтернативы, такая веб-страница может быть послана пользователю в качестве почтового сообщения в формате HTML. Запуск кода будет осуществляться в контексте безопасности пользователя такой системы. Атака на систему с использованием почтового сообщения в формате HTML невозможна в почтовых клиентах Outlook 98 или Outlook 2000 вместе с Outlook Email Security Update, а также в приложениях Outlook Express 6 или Outlook 2002 с установками по умолчанию.

ЗАО "ДиалогНаука" настоятельно советует всем пользователям данных приложений загрузить и установить на своих компьютерах патч опубликованный компанией Microsof или обновить версию MDAC до 2.7. или выше.