This is a machine translation. The original page (in English) is available here.
Окна
Мак ОС
Мобильный

Последние новости: 12 ноября 2016 - мы нашли новый обнаружить клавиатурных шпионов для вас. RSS-канал

Главная>Мировые новости>корпорация Microsoft спешит исправить т. е. убить-чуть обойти атаку

AnyKeylogger для Mac

Корпорация Microsoft спешит исправить ошибку, т. е. убить-чуть обойти атаку

Microsoft была вынуждена выпустить экстренные патчи для операционной системы Windows после того как исследователи обнаружили способ обойти важнейшим механизмом безопасности в интернет-браузера.

В среду поговорим на этой неделе Черная шляпа-конференции в Лас-Вегасе, исследователи Марк Дауд, Райан Смит и Дэвид Дьюи покажу путь в обход убить-бит' механизм, используемый для отключения багги элементы управления ActiveX. На видео демонстрация написал Смит показывает, как исследователям удалось обойти механизм проверки для элементов управления ActiveX, которые не допускаются для работы на Windows. Они могли затем использовать багги элемент управления ActiveX для запуска несанкционированных программ на компьютере жертвы.

Хотя исследователи не выявили технические детали за свой труд, эта ошибка может быть большое дело, давая хакерам способом использования проблем ActiveX, которые считались до сих пор были смягчены через убить-бит.

"Это огромная, потому что тогда вы можете выполнять элементы на поле, что не были предназначены, чтобы быть казнен", - заявил Эрик Шульц, главный офицер технологии с технологиями shavlik. "Таким образом, посетив Веб-сайт зло [преступников] можно делать все что угодно, хотя я применил патч.

Майкрософт обычно вопросы эти убить-разрядные инструкции как быстрый способ получения Интернет-обозреватель от атак, использующих ошибки в программном обеспечении управления. Реестр Windows присваивает элементы управления ActiveX уникальных чисел, называемых идентификаторов GUID (глобально уникальные идентификаторы). Убить-разрядный механизм черных списков определенных идентификаторов GUID в реестре, так что компоненты не могут быть запущены.

По данным источников, знакомых с ситуацией, компания Microsoft предпринимает необычный шаг, выпустив экстренный патч баг во вторник. Как правило, Microsoft только выпускает эти "из цикла" патчи, когда хакеры эксплуатируют брешь в реальных атак. Но в этом случае детали изъян до сих пор секрет, и Microsoft заявила, что атака не используется в атаках.

"Это, должно быть, очень напугана Microsoft", - сказал Шульце сказал, размышляя о том, почему Microsoft может быть выдан из цикла патчи.

Это может также отражать неловкое связям с общественностью проблему для Microsoft, которая была более тесно сотрудничает с исследователями в области безопасности в последние годы. Если Microsoft попросила исследователи отложить их разговор до следующего набора компании регулярные патчи -- в силу 11 августа, компания может сталкивались с люфтом за то, что подавил черный исследовательских шляпу.

Сама Microsoft предусмотрела несколько деталей о чрезвычайных патчи, которые должны быть опубликованы во вторник в 10:00 на западном побережье время.

Поздно в прошлую пятницу, компания сказала планируется выпустить критические исправления для Internet Explorer, а также в виде патча, связанных с визуальной студии рейтинг "умеренно".

Однако, проблема, которая позволяет исследователям обход убить-разрядный механизм может лежать в широко используемый компонент Windows под названием Библиотека шаблонных классов (ATL). По данным исследователь безопасности Halvar flake и этот недостаток тоже виноват объекта ActiveX ошибка, что Microsoft ранее в этом месяце. Компания Microsoft выпустила убить-битных патч для проблема на 14 июля, но посмотрев на ошибки, Чешуйчатый установлено, что патч не устранения уязвимости.

Один из исследователей, представляющих в черной шляпе, Райан Смит, сообщил эту Уязвимость в Microsoft более чем год назад, и этот изъян будет рассмотрен в черной шляпе говорить, источники подтвердили в понедельник.

Пресс-секретарь Microsoft отказался сказать, сколько элементов управления ActiveX обеспеченные через убить-разрядный механизм, пояснив, что компания "не имеет дополнительной информации об этой проблеме", пока патчей. Но сказал Schutze, что есть достаточно, что во вторник патч должен быть применен как можно скорее. "Если Вы не применяем, это, как вы удалили 30 предыдущих патчей", - сказал он.

Смит отказался комментировать эту историю, сказав, что он не был допущен, чтобы обсудить этот вопрос перед его черной шляпе говорить. Две другие исследователи, участвующие в презентации работы для IBM. И тогда как IBM отказалась сделать их доступными для комментариев понедельник, пресс-секретарь компании Дженнифер Кнехт подтвердил, что в среду Черная шляпа разговоры, связанные с вторника патчей от Microsoft.
Главная>Мировые новости>корпорация Microsoft спешит исправить т. е. убить-чуть обойти атаку
Важно! Установка средств мониторинга компьютеров Вы не владеете или не имеете разрешения для монитора может нарушить местным, государственным или Федеральным законом.
Предложить перевод