|
 Все новости от 8 июня 2001 г.
Обнаружена лазейка в Exchange 2000
В среду Microsoft обнародовала информацию о наличии пробела в защите почтового сервера Exchange 2000, который позволяет хакеру уничтожать почту корпоративных пользователей.
Опасность грозит только тем компаниям, которые работают с программой Outlook Web Access, входящей в пакет Exchange. Она позволяет предприятиям предоставлять сотрудникам возможность дистанционного доступа к своей почте через браузер. Microsoft сообщает, что Outlook Web Access и браузер Internet Explorer плохо сочетаются друг с другом. Вложения в e-mail, которые в письме кажутся текстовым файлом, могут содержать скрипт, модифицирующий in-box и другие почтовые папки при открытии в Internet Explorer. «Такой скрипт не переформатирует ваш диск; он может делать лишь то, что позволяет браузер, — говорит менеджер службы информационной безопасности Microsoft Кристофер Бадд (Christopher Budd). — Через браузер нельзя записывать файлы в машину».
Тем не менее злоумышленник может добавлять, удалять и модифицировать данные и сообщения в почтовом ящике пользователя. Чтобы задействовать эту лазейку, атакующему достаточно вложить в письмо текстовый файл, содержащий HTML-код и скрипты, — сразу после открытия файла программа начинает выполняться без всякого предупреждения.
В Outlook и других почтовых клиентах файл HTML либо определяется как таковой — и обозначается соответствующим значком, либо воспринимается как текстовый файл и не исполняется. Дефект Outlook Web Access приводит к тому, что файл отображается как текстовый, но исполняется как файл HTML. Еще хуже то, что, хотя Windows обычно предупреждает пользователя об исполнении скрипта, в данном случае этого не происходит.
Однако Бадд успокоил пользователей: так как дефект влияет только на веб-почту и безопасен для Outlook и Outlook Express, особого успеха злоумышленникам не добиться. «Пострадают только те, кто читает почту через браузер, — сказал он. — Так что, если разослать вирус миллионам людей, он сработает лишь у небольшого процента». Более того, дефект не позволяет вредоносной программе автоматически рассылать e-mail, как это обычно делают свирепствующие сегодня «интернет-черви».
Случаи использования выявленной лазейки в реальных программах пока не известны. Об этой проблеме Microsoft оповестила экспертов по информационной защите и уже предлагает поправку компаниям, работающим с Exchange Server 2000. На предыдущую версию Exchange 5.5 дефект не влияет.  В продолжение темы:
 | Chulkov - chulkov narod.ru
9 Jun 2001 3:32 AM |
| Этоа проблема мне напоминает анекдот о том, когда раненый боец после сражения шепчет в госпитале "передайте нашим, что если с гранаты выдернуть чеку, то она взорвётся"... это я к тому, что головой думать надо, прежде чем что-то делать... ну а полность защищённой среды создать невозможно по определению... |
|
| UU
9 Jun 2001 11:59 AM |
а мне понравилось что великие интеграторы всего и вся все-таки признают иногда что их собственные программы друг с другом не совместимы
не то что бы это был большой секрет и все-таки... |
|
| Антон Блинков - bavinfopac.ru
9 Jun 2001 3:37 PM |
2 Chulkov
я вот часто бользуюсь этим самым Outlook Web Access и где мне не выдергивать эту самую чеку?
|
|
|
