Компьюлента. 29 мая 2003 года, 12:15
Корпорация Microsoft выпустила два новых бюллетеня, посвященных проблемам безопасности своих продуктов. В бюллетене MS03-018 описываются несколько дыр в службе Microsoft Internet Information Services (ISS) версий от 4.0 до 5.1 включительно. Шестая версия ISS уязвимостей не содержит. В зависимости от своего характера, дыры в ISS получили рейтинг от малоопасного (low) до важного (important).
Одна из дыр в ISS связана с технологией CSS и позволяет осуществлять манипуляции с зонами безопасности на клиентской машине. Уязвимость, связанная с переполнением буфера в IIS 5.0 более серьезная - она позволяет злоумышленнику выполнить на сервере произвольный код. Кроме того, еще две уязвимости могут использоваться для организации DoS-атак. В первом случае уязвимость связана с неправильным выделенеим памяти при работе с ASP-страницами, а вторая - с неправильной обработкой ошибок запросов WebDAV. Для устранения всех этих дыр выпущен кумулятивный патч.
Еще одна дыра умеренной опасности была обнаружена в службе Microsoft Windows Media Services, входящей в состав ОС Windows 2000, а точнее в ISAPI-расширении для нее. Данная служба предназначена для организации потоковых трансляций через интернет. В реализации службы имеется ошибка, в результате которой некоторые из запросов обрабатываются неправильно. Направив особым образом сформированный запрос, злоумышленник сможет заставить сервер перестать обрабатывать остальные запросы. Описание уязвимости и методов ее устранения можно найти в бюллетене MS03-019.
