Microsoft: исправление Windows 2000 "неосуществимо"
Microsoft сделала необычный шаг сегодня и пропустила исправление трех уязвимостей, устраненных в ее ежемесячном обновлении безопасности, заявив, что создание исправления было "неосуществимо."
Это упущение делает пользователей, работающих под управлением Windows 2000 Server Service Pack 4 (SP4) уязвимыми для атак.
Ранее сегодня Microsoft выпустила пять критических обновлений, которые исправили восемь уязвимостей в Windows, включая три, которые компания не потрудится исправить в Windows 2000 Server SP4. Поддержка операционной системы не заканчивается до июля 2010 года; до тех пор Microsoft должна была предоставлять обновления.
"Это действительно странно", - сказал Джейсон Миллер, менеджер группы безопасности и данных Shavlik Technologies. -Я никогда раньше не видел, чтобы они так поступали."
Миллер имел в виду MS09-048 , обновление для системы безопасности, которое исправляет три уязвимости в реализации Windows TCP/IP, набора протоколов подключения по умолчанию в Интернете. Все три уязвимости обновления были исправлены в Vista и Server 2008, но не для Windows Server SP4.
"Microsoft не выпускает патч для этой уязвимости", - продолжил Миллер. "Они заявляют,что создание патча для устранения уязвимости "невозможно построить."Имея это в виду, уязвимость, которая затрагивает Windows 2000, вот-вот станет известна, и администраторы не смогут просто исправить свои машины."
В бюллетене MS09-048 Microsoft подробно объяснила, почему она не исправляет недостатки в Windows 2000 SP4.
"Архитектура для правильной поддержки защиты TCP / IP не существует в системах Microsoft Windows 2000, что делает невозможным создание исправления. Для этого потребуется перепроектировать очень значительную часть операционной системы Windows 2000 SP4, а не только затронутый компонент. Результат таких усилий по перестройке архитектуры был бы достаточно несовместимым ... что не будет никакой гарантии, что приложения, предназначенные для работы в Windows 2000 SP4, будут продолжать работать в обновленной системе."
- О боже! - воскликнул Эндрю Стормс, директор отдела безопасности nCircle Network Security. "[Это] еще одно доказательство того, что сетевой стек Windows 2000 не был в хорошей форме", - добавил он, отметив, что когда была выпущена Windows XP, ходили слухи, что Microsoft заключила контракт с Cisco Systems на написание стека TCP/IP этой операционной системы.
Миллер призвал компании поставить MS09-048 на первое место в своем списке дел по исправлению ошибок. "Это очень важно, если вы ищете какое-то деловое взаимодействие", - сказал он. - Кроме того, для этого не требуется никакого взаимодействия с пользователем."
Хотя Windows 2000 составляет очень маленький кусочек всех машин Windows, клиентских или серверных, Миллер сказал, что недостатки-и тот факт, что Microsoft не потрудилась их исправить-могут быть катастрофическими для некоторых фирм.
"Любой, у кого есть машина, на которую они не мигрировали, например, Windows Server 2003, находится в большой беде", - сказал Миллер. "И есть компании, которые этого не сделали, возможно, потому, что у них есть приложения, которые не будут работать ни на чем, кроме Windows 2000", - сказал он.
Другие присоединились к Миллеру, рекомендуя немедленно применить обновление TCP / IP. "Как только вы получаете [вредоносный] пакет, машина может быть скомпрометирована", - сказал Амол Сарвате, менеджер Лаборатории исследований уязвимостей Qualys. - Простая блокировка портов не сработает в качестве защиты."
Единственным утешением, по мнению исследователей, было то, что хакерам потребуется относительно высокий уровень знаний для создания эксплойтов для ошибок TCP/IP. "У пользователей может быть больше времени на исправление MS09-048, чем у некоторых других, - сказал Вольфганг Кандек, главный технический директор Qualys, - потому что [хакерам] потребуется некоторое время, чтобы заставить эксплойт работать.
В то время как все поддерживаемые в настоящее время выпуски Windows подвержены уязвимостям TCP/IP, включая Vista и Windows Server 2008, еще не выпущенные Windows 7 и Windows Server 2008 R2 не подвержены этим уязвимостям.
- Это довольно интересно, - сказал Вольфганг Кандек, главный технический директор Qualys. "Microsoft, должно быть, делает что-то особенное в этих операционных системах, что предотвращает такие атаки."
Другой исследователь Qualys предположил, что новейшие операционные системы были изменены, чтобы обеспечить лучшую защиту на основе инфраструктуры. "Я бы сказал, что Microsoft внедрила такие вещи, как ASLR", - сказал Ричи лай, директор исследовательской группы Qualys. ASLR (address space layout randomization) - это защитный механизм, который Microsoft дебютировала с Vista и который не позволяет хакерам легко предсказывать целевые адреса - места, где они могли бы внедрить вредоносный код для компрометации компьютера.
"Это может сделать Windows 7 и Server 2008 RS отличительными в некотором роде", - сказал лай.
Сентябрьские обновления можно загрузить и установить через службы Центра обновления Майкрософт и Центра Обновления Windows, а также через службы обновления Windows Server.
Дата публикации: Это упущение делает пользователей, работающих под управлением Windows 2000 Server Service Pack 4 (SP4) уязвимыми для атак.
Ранее сегодня Microsoft выпустила пять критических обновлений, которые исправили восемь уязвимостей в Windows, включая три, которые компания не потрудится исправить в Windows 2000 Server SP4. Поддержка операционной системы не заканчивается до июля 2010 года; до тех пор Microsoft должна была предоставлять обновления.
"Это действительно странно", - сказал Джейсон Миллер, менеджер группы безопасности и данных Shavlik Technologies. -Я никогда раньше не видел, чтобы они так поступали."
Миллер имел в виду MS09-048 , обновление для системы безопасности, которое исправляет три уязвимости в реализации Windows TCP/IP, набора протоколов подключения по умолчанию в Интернете. Все три уязвимости обновления были исправлены в Vista и Server 2008, но не для Windows Server SP4.
"Microsoft не выпускает патч для этой уязвимости", - продолжил Миллер. "Они заявляют,что создание патча для устранения уязвимости "невозможно построить."Имея это в виду, уязвимость, которая затрагивает Windows 2000, вот-вот станет известна, и администраторы не смогут просто исправить свои машины."
В бюллетене MS09-048 Microsoft подробно объяснила, почему она не исправляет недостатки в Windows 2000 SP4.
"Архитектура для правильной поддержки защиты TCP / IP не существует в системах Microsoft Windows 2000, что делает невозможным создание исправления. Для этого потребуется перепроектировать очень значительную часть операционной системы Windows 2000 SP4, а не только затронутый компонент. Результат таких усилий по перестройке архитектуры был бы достаточно несовместимым ... что не будет никакой гарантии, что приложения, предназначенные для работы в Windows 2000 SP4, будут продолжать работать в обновленной системе."
- О боже! - воскликнул Эндрю Стормс, директор отдела безопасности nCircle Network Security. "[Это] еще одно доказательство того, что сетевой стек Windows 2000 не был в хорошей форме", - добавил он, отметив, что когда была выпущена Windows XP, ходили слухи, что Microsoft заключила контракт с Cisco Systems на написание стека TCP/IP этой операционной системы.
Миллер призвал компании поставить MS09-048 на первое место в своем списке дел по исправлению ошибок. "Это очень важно, если вы ищете какое-то деловое взаимодействие", - сказал он. - Кроме того, для этого не требуется никакого взаимодействия с пользователем."
Хотя Windows 2000 составляет очень маленький кусочек всех машин Windows, клиентских или серверных, Миллер сказал, что недостатки-и тот факт, что Microsoft не потрудилась их исправить-могут быть катастрофическими для некоторых фирм.
"Любой, у кого есть машина, на которую они не мигрировали, например, Windows Server 2003, находится в большой беде", - сказал Миллер. "И есть компании, которые этого не сделали, возможно, потому, что у них есть приложения, которые не будут работать ни на чем, кроме Windows 2000", - сказал он.
Другие присоединились к Миллеру, рекомендуя немедленно применить обновление TCP / IP. "Как только вы получаете [вредоносный] пакет, машина может быть скомпрометирована", - сказал Амол Сарвате, менеджер Лаборатории исследований уязвимостей Qualys. - Простая блокировка портов не сработает в качестве защиты."
Единственным утешением, по мнению исследователей, было то, что хакерам потребуется относительно высокий уровень знаний для создания эксплойтов для ошибок TCP/IP. "У пользователей может быть больше времени на исправление MS09-048, чем у некоторых других, - сказал Вольфганг Кандек, главный технический директор Qualys, - потому что [хакерам] потребуется некоторое время, чтобы заставить эксплойт работать.
В то время как все поддерживаемые в настоящее время выпуски Windows подвержены уязвимостям TCP/IP, включая Vista и Windows Server 2008, еще не выпущенные Windows 7 и Windows Server 2008 R2 не подвержены этим уязвимостям.
- Это довольно интересно, - сказал Вольфганг Кандек, главный технический директор Qualys. "Microsoft, должно быть, делает что-то особенное в этих операционных системах, что предотвращает такие атаки."
Другой исследователь Qualys предположил, что новейшие операционные системы были изменены, чтобы обеспечить лучшую защиту на основе инфраструктуры. "Я бы сказал, что Microsoft внедрила такие вещи, как ASLR", - сказал Ричи лай, директор исследовательской группы Qualys. ASLR (address space layout randomization) - это защитный механизм, который Microsoft дебютировала с Vista и который не позволяет хакерам легко предсказывать целевые адреса - места, где они могли бы внедрить вредоносный код для компрометации компьютера.
"Это может сделать Windows 7 и Server 2008 RS отличительными в некотором роде", - сказал лай.
Сентябрьские обновления можно загрузить и установить через службы Центра обновления Майкрософт и Центра Обновления Windows, а также через службы обновления Windows Server.
Автор: Keylogger.Org Команда
