Уязвимость на уязвимости
Январь 2010 года как то уж сильно богат на обнаруженные ошибки в различных программах и спешном их устранении. Поэтому поговорим сегодня о безопасности наших полупроводниковых друзей, компьютеров, ноутбуков и других электронных железок.
Мы уже писали о выпуске пакета исправлений к своим многочисленным продуктам компанией Oracle. И как выяснилось, с безопасностью у Oracle не всё так плохо как писали журналисты.
Совсем плохо у пользователей OC Windows. Так называемая “уязвимость нулевого дня” в браузере Internet Explorer оказалась намного серьёзнее чем ожидали специалисты. Компания Google была атакована оказывается используя именно эту уязвимость. Жертвами атаки через эту дыру стали и многие другие крупные компании, такие как Yahoo, Symantec, Juniper Networks, Adobe, Northrop Grumman и Dow Chemical. А если учесть нелюбовь пользователей обновляться, то пострадавших может стать гораздо больше, до парализации всего интернета. Правительства Франции и Германии даже рекомендовали своим гражданам отказаться хоть на время от использования Internet Explorer.
Но беда никогда не приходит одна. Также была обнародована 17-летняя уязвимость касающаяся всех 32-битных Windows, начиная с версии 3.1 и заканчивая модной нынче Windows 7. Дыра находится в виртуальной MS DOS подсистеме, позволяющей запускать старые приложения. С помощью неё обычный пользователь может запросто повысить свои привилегии до администратора.
Обе эти уязвимости в своем сочетании дают очень нехорошую смесь для злоумышленников. И если подсистему MS DOS можно отключить и не беспокоиться, то пакет исправлений к Internet Explorer выйдет только завтра.
