Робърт Лемос CNET News.com 14 Септември 2004

Във вторник от Microsoft публикуваха пач за един от основените недостатъци в сигурността на софтуера обслужващ графичния формат JPEG.По този начин потребителите на софтуера бяха принудени да използват напълно ново средство, за установяване уязвимите JPEG приложения.

Сериозният недостатък е наречен “критичен”, тъй като показва как софтуера и операционните системи на Microsoft , използващи JPEG формат биха позволили на един атакуващ да създаде графичен файл. Този образ успява да стартира съответната програма на компютъра на жертвата, веднага след отварянето на файла. Поради простата причина, че браузерът на Microsoft Internet Explorer е уязвим, потребителите на Windows биха могли посещавайки уеб сайта на Microsoft да попаднат на засегати изображения.

Съдейки по същтността на недостатъка някои експерти са изказали предположение, че е възможна появата на нов вирус.

Според Крейг Шмъгар мениджър на отдел за проучване на вирусите в Макафи, “Съществува голяма вероятност за атака”, като допълни “ Но въпреки това, все още не е доказано съществуването на вирусния код. Такъв код илюстрира как може да се злоупотреби с подобен уязвимост. Появата на която е предшествана с пускането от страна на софтуерните производители на поправка за някои от съответните продукти.

Недостатъкът засяга различни версии на поне дузина софтуерни приложения и операционни системи на Microsoft, включително Wndows XP, Windows Server 2003, Office XP, Office 2003, Internet Explorer 6 Service Pack 1, Project, Visio, Picture It and Digital Image Pro. Софтуерният гигант приъежава пъленият списък на засегнатите приложения в косултантската секция на своя уеб сайт. Например приложението Windows XP Service Pack 2, не е сред тях.

Според Стивън Тулуз, мениджър по програмна сигурност в Microsoft “Предизвикателството в тази дефектна дефиниция, се състои в това, че тя поразява сериозен брой продукти.”

В допълнение Тулуз каза ” Поради факта, че много от продуктите са пострадали, от Microsoft са създали отделено помощно средство, с което да помогнат на клиентите да осъвременят компютрите си. Потребителите на обновения Windows ще бъдат ориентирани и към използване на средства за обовяване на пакета Office, и на приложенията свързани сформата JPEG.

“На нас ние известно, че едно от най-важните неща за нашите клиенти е да се направи процеса по обновяване на софтуера по-лесен. Това, към което се стремим е да уеднаквим механизма за обовяването му” - продължи той.

Дистрибуциите на Линукс имат развит такъв уеднаквен механизъм, който обновява не само ядрото на операционната система, но и другите приложения на софтуера с отворен код. Повечето от приложенията в Windows, са създадени не от самата Microsoft , а от други компании, така че създаването на такава унифицирана система за обновяване би била доста трудна.

По своятя същтност JPEG технологията дава възможност на програма скрита зад някакво изображение да порази операционната системат на жертвата. Недостатъкът няма нищо общо с графичната уязвимост открита в началото на август. Този проблем в цялостния изходен код, който принципно е проектиран да поддържа PNG изображенията, засяга приложенията работещи на Линукс, Windows i MAC OS- графични среди.

Като част от програмата за известяване действаща от април 2004, всеки клиент, сключил негласно споразумение с Microsoft е , получил тридневно предупреждение за JPEG недостъка.

В отговор на твърдение в медиите Тулуз заяви: “Някои потребители са поискали повече информация, с цел планиране”, като в същото време е посъветвал клиентите да се обърнат за повече информация към техният търговски представител за Microsoft. Информацията дадена на участниците в програмата е ограничена в зависимост от броя, засегнатите приложения и максималното ниво на заплаха според вида на недостатъците.

JPEG графичната уязвимост е последната за Microsoft, като в същото време е в основата на 28-мата поред за консултантите. От Microsoft често обединяват множество проблеми и ги отасят към един единствен консултантски екип. Така например през април четирима консултанти са се занимавали с над 20 уязвими програми.

Вторият пач пуснат от Майкрософт във вторник, поправя недостатък в WordPerfect, който преобаразува файлове в Microsoft Office, Publisher, Word и Works. Този дефект позволява на атакуващите да установи контрол спрямо компютрите на потрбители отворили WordPerfect документ.

Повече информация относно вторият недостатък може да бъде открита в консултативния уеб сайт на Майкрософт. От софтуерният гигант посъветваха потребителите си да използват Office Update, за да поплучат поправката директно от сайта.



news.com.com/2102-1002_3-5366314.html?tag=st.util.print