Вчера все в порядке,
А сейчас все накрылось -
В этом суть windows

MICROSOFT, WINDOWS & etc.

Microsoft TechNet (Патчи, апдейты и сервиспаки)

Microsoft Security Bulletin  

Windows 2000 Downloads Critical update


Интересная ссылка - http://www.chat.ru/~imiturin/index.html : Надоело мне по одному ХотФиксы устанавливать. Вот я и сделал себе один, но комплексный, который годиться и для NT4 Workstation и для NT4 Server :-) ...

 

06.09.2002

Ошибка в обработке цифровых сертификатов

Microsoft выпустила очередной релиз по безопасности собственных продуктов, в котором уведомляет что во всех версиях операционной системы Windows обнаружена уязвимость, процесса проверки подлинности цифровых сертификатов.
Суть уязвимости состоит в том что не осуществляется корректным образом контроль параметра "Basic Constraints". Данный параметр указывает на легитимность выданного сертификата и возможность генерировать на его базе другие сертификаты. Это дает возможность злоумышленнику, обладая легально выпущенным сертификатом использовать его в качестве корневого, для генерации ложных сертификатов. Это можно использовать для маскирования сайта злоумышленника в качестве портала онлайновых платежей. Или подписи сообщений электронной почты, в качестве доверенного лица. Хотя сотрудники Microsoft утверждают, что данная атака крайне трудно реализуема, однако в Internet уже появились сообщения об использовании этой уязвимости.
Для устранения этой уязвимости компания Microsoft настоятельно рекомендует выбрать и инсталлировать соответствующий патч.

21.06.2001

Miscrosoft: существенные изменения в лицензировании

Наверное, вы уже слышали о грядущих изменениях в лицензионной политике компании Microsoft, о так называемой программе Microsoft Licensing 6.0. В этой и последующих рассылках мы дадим некоторые пояснения относительно этих нововведений.

С 1 июля этого года операционные системы Windows 98/2000 Pro и пакет офисных приложений Office 2000 будут доступны только в коробочной поставке или в виде OEM-версий, корпоративные же лицензии (Open License) на эти продукты исключаются из
прайс-листа Microsoft. В настоящее время уже доступны для приобретения корпоративные лицензии на Office XP (последняя версия пакета офисных приложений), которые лицензируют также работу с любой предыдущей версией (Office 97/2000).

Примерно в октябре ожидается выпуск рабочей версии Windows XP. Новую версию операционной системы можно будет приобретать только в виде OEM-версий, либо в виде корпоративной upgrade-лицензии " лицензии на переход с Windows 3.11/9x/NT/2000 на Windows XP. OEM-версии можно будет приобретать с одновременно обновлением
компьютера, к примеру, с расширением оперативной памяти.

Предусмотрена процедура активации новых версий Windows/Office XP, которая позволяет инсталлировать продукты строго на то количество компьютеров, которое указано в лицензионном договоре.

С 1 октября появляется возможность приобретения для любого продукта Microsoft опции Software Assurance (SA)" права на использования всех новых версий данного продукта, которые выйдут в течение 2-х лет с момента приобретения SA. Стоимость SA
составляет 50% стоимости лицензии для серверов и 58% для операционных систем и офисных приложений. SA можно приобрести только вместе с лицензиями, либо в течение 90 дней с момента приобретения коробочного продукта или ОЕМ-версии (кроме продуктов семейства Office) или в течение 90 дней после окончания действия
Upgrade Advantage (UA).

Напомним, что для лицензирования использования ЛЮБЫХ версий (в том числе и любых языковых версий) Windows и Office существует еще одна возможность " приобретение OSL-лицензии " права на использование продуктов в течение 1-3 лет. Оплата OSL осуществляется ежегодно. Если ранее приобрести OSL можно было не
менее чем на 25 компьютеров, то с 1 октября этот порог снижен до 10. Более подробно смотрите здесь: http://www.softline.ru/products/Microsoft/licence/MOSL.asp

19.06.2001
"Дыра" в серверном ПО Microsoft может стать фатальной для 6 млн. сайтов

Компания Microsoft официально объявила о том, что недавно обнаруженные слабые места в серверах под управлением ее программного обеспечения могут быть использованы хакерами для проникновения на компьютеры миллионов компаний всего мира. Под угрозой атак находится 6 млн. сайтов или 21% всех ресурсов Сети.
"Дыра", о которой идет речь на этот раз, обнаружена в устанавливаемых по умолчанию компонентах IIS веб-серверов. Первой о проблеме заговорила компания eEye Digital Security, специализирующаяся на разработке продуктов для обеспечения безопасности серверов. eEye обнаружила очередную "дыру" в IIS веб-серверах, когда тестировала свой новый сканер, созданный для выявления такого рода проблем. "Уязвимыми для хакерских атак являются очень многие серверы, - заявил Марк Майффрет (Marc Maiffret), глава подразделения eEye по защите от хакеров. - Используя возможности, которые дает эта уязвимость, практически любой хакер может получить доступ к компьютерным сетям с правами системного администратора".
В заявлении Microsoft сообщается, что, используя "дыру", хакеры могут менять веб-страницы, переформатировать жесткие диски компьютеров в сети, добавлять новых пользователей в компьютерные сети компаний, красть базы данных, инсталлировать и запускать программы.
Опасности подвергаются IIS серверы под управлением Windows NT, Windows 2000 и бета-версии Windows XP.
Слабое место обнаружено в коде, используемом IIS серверами Microsoft для поддержки индексации - функции, которая ускоряет поиск по веб-серверам. Модуль, известный как фильтр сервисной индексации ISAPI, некорректно проверяет переполнение буфера. В результате, по крайней мере 50% или 3 млн. IIS серверов, в которых этот компонент поставлен по умолчанию, являются уязвимыми.
Узнав о проблеме, Microsoft выпустила патч, позволяющий закрыть "дыру". Патч можно скачать здесь. Компания рекомендует сисадминам не ждать хакерских атак и позаботиться о безопасности сайтов незамедлительно.
О необходимости срочных действий заявила консалтинговая компания International Security Systems, которая так же занимается разработкой программного обеспечения. По словам Криса Роланда (Chris Rouland), "до тех пор, пока не случилась серия хакерских атак с использованием обнаруженной "дыры", ее можно скромно называть "слабым местом". Однако я думаю, что в данный момент множество хакеров готовится к нападению, которое пройдет в течение 48 часов".

 

Microsoft опубликовала заплату для дыры в защите программы Virtual Machine

Корпорация Microsoft опубликовала на своем Web-сайте заплату для дыры в системе защиты ПО Virtual Machine (VM), из-за которой хакеры могли получать полный контроль над компьютером своей жертвы. С техническими подробностями этой проблемы и способом ее решения можно ознакомиться по адресу www.microsoft.com/technet/security/bulletin/ms00-075.asp
Программа Virtual Machine поставляется в составе таких продуктов как Internet Explorer (версий 4.х и 5.х) и Virtual Studio. Она позволяет создавать и запускать на исполнение управляющие элементы ActiveX. По замыслу создателей Virtual Machine, обращаться к этим функциональным возможностям можно только из Java-апплета, снабженного цифровой подписью. Однако оказалось, что из-за бреши в защите, запускать приложения ActiveX можно было и из неподписанных Java-апплетов, что весьма опасно. Комментируя эту ситуацию, специалист по компьютерной защите Русс Купер (Russ Cooper) из ICSA.Net привел пример с банковским чеком, по которому при подобном уровне защиты мог бы получить деньги любой, кто удосужился бы в нем расписаться. Как оказалось, от несанкционированных вторжений не были защищены и те пользователи браузера Internet Explorer, которые в настройках запретили запуск на исполнение элементов ActiveX, так как дыра в защите содержалась внутри Virtual Machine. Хакер мог использовать эту брешь, послав своей жертве по электронной почте письмо в HTML-формате со ссылкой на сайт с вредоносной программой. (16 Oct 2000)
      

Windows 2000

Windows 95, 98    

12 Jul 2000 - Windows в очередной раз  прохудилась
Недавно одним из специалистов компании Microsoft была найдена серьезная дыра в безопасности Windows 98. Дело в том, что если на компьютере, где установлена эта ОС, последовательно выполнить следующие команды:
del c:\windows\*.*
echo y | format c:
- ОС Windows перестает работать.
На сайте компании уже выложен патч, устраняющий этот баг и защищающий Windows пожизненно, что бы вы ни делали.

< http://npawga.citycat.ru/ >

Windows NT 

4 Aug 2000 - Посылка на FTP сервер Serv-U 2.5e строки определенного содержания может уронить ваш компьютер в синий экран [enter.gif (71 bytes)]

12 Feb 1999 - Buffer overflow in Serve-U
Очень простая возможность уронить ftp-сервер Serve-U:
пошлите файл, размером около 1 Mb, на serve-u's ftp port (21).   Из-под UNIX это можно сделать просто :
cat filename | nc hostname 21

 

27.10.99 - Вышел SP6 для Windows NT 4.0
19.11.99 - Вышел SP6a


С января 2000 года я перестаю отслеживать багтрак по темам локальных броузеров и почтовых клиентов, типа Explorer, Netscape, Outlook и т.п. Всех, озабоченных проблемами безопасности подобных продуктов прошу посещать следующие сайты:
1. Сайт Georgi Guninski
2. Дайджест по безопасности WindowsNT
3. Microsoft Security Bulletin
+ отключите поддержку JavaScript в браузере


BACK ORIFICE   

 

ПУСТЬ  ОНИ   ОПЛАТЯТ  ТВОЙ  ИНТЕРНЕТ

ProfitZone  SPEDIA
ЗАРАБОТОК В СЕТИ