Microsoft выпустила заплатки для двух дыр в защите своего интернет-ПО, через которые хакеры могут читать файлы на компьютерах пользователей или перехватывать информацию с веб-страниц, которые они посещают. Кроме того, компания исправила несколько ошибок, позволяющих злоумышленникам выводить из строя веб-серверы или забираться в компьютерные сети, связанные с веб-серверами Microsoft. Три из четырех предупреждений Microsoft классифицировала как «критические».

Новые сигналы тревоги раздались на фоне продолжающейся мощной кампании Microsoft по повышению безопасности своего ПО. Microsoft пропагандирует стратегию .Net, которую хочет сделать центром реализации услуг на базе интернета, однако многие сомневаются в том, что продукты Microsoft достаточно надежны для этого.

Ошибки обнаружены в веб-браузере Internet Explorer, программе XML Core Services версии 2.6 и выше, Microsoft SQL Server и Microsoft Commerce Server 2000. Они исправлены несколькими отдельными патчами, которые Microsoft рекомендует установить немедленно. XML Core Services входит в состав каждой копии новой операционной системы Windows XP.

Баг VBScript в Internet Explorer
В Internet Explorer ошибка относится к способу взаимодействия VB-скриптов (фрагментов кода, которые могут быть встроены в веб-страницы) одного фрейма браузера с контентом других фреймов. Злоумышленник может создать веб-страницу или e-mail в формате HTML, позволяющие ему читать файлы на локальном диске пользователя или извлекать информацию с посещаемых им страниц. Второй сценарий означает, в частности, что атакующий может перехватывать номера кредитных карт и пароли, набираемые пользователем на веб-сайтах.

Злоумышленник может читать только те локальные файлы, которые отображаются в браузере, такие как текстовые или HTML-файлы. Для этого ему необходимо знать точный путь к этим файлам. Однако системные файлы Windows часто хранятся в одних и тех же определенных местах.

Причиной уязвимости является проблема защиты, возникающая при попытках VB-скриптов читать данные из фрейма браузера, расположенного в другом домене. Обычно это не допускается, но из-за ошибки такой доступ становится возможен.

Баг проявляется в версиях IE 5.01 SP2, 5.5 SP1, 5.5 SP2 и 6.0. Патч для IE находится здесь и доступен через Windows Update.

Баг XML Core Services
Версия XML Core Services 2.6 и выше — которая поставляется с Internet Explorer 6.0, SQL Server 2000 и всеми копиями Windows ХР — содержит баг, позволяющий хакеру читать данные из компьютера пользователя.

Ошибка относится к элементу ActiveX, называемому XMLHTTP, который позволяет открытым в браузере веб-страницам отправлять и принимать данные формата XML по стандартному протоколу HTTP. XMLHTTP ненадежно проверяет параметры безопасности некоторых типов запросов данных на веб-странице, что позволяет, с применением надлежащей маскировки, запрашивать данные с жесткого диска пользователя. Однако для этого атакующий должен сначала заманить жертву на свою веб-страницу. Через e-mail в формате HTML в данном случае действовать нельзя. Как и в случае бага IE, злоумышленник должен знать полный путь к файлу, который он желает прочесть.

Патч можно скачать отсюда или через Windows Update.

Commerce Server открыт для атак
Ошибка в Commerce Server 2000 имеет иную природу. Она позволяет злоумышленникам инициировать атаку типа Denial of Service (DoS), вывести сервер из строя или выполнить на сервере любую программу. Commerce Server базируется на ПО Microsoft Internet Information Services, но сам IIS не имеет отношения к этой уязвимости.

Ошибка находится в файле AuthFilter, присутствующем в Commerce Server по умолчанию. Атакующий может отправить данные аутентификации, переполняющие буфер AuthFilter, что приводит к отказу AuthFilter или заставляет его выполнять нужный атакующему код. Данный процесс имеет повышенные системные привилегии, что позволяет злоумышленнику получить полный контроль над сервером. В некоторых случаях атакующий может распространить свой контроль на другие компьютеры в сети, к которым у Commerce Server есть доступ.

Патч для этого бага находится здесь и будет включен в Commerce Server 2000 Service Pack 3.

Риск атак типа denial-of-service на SQL Server
Наконец, SQL Server содержит аналогичную ошибку неконтролируемого переполнения буфера, которая делает его уязвимым для атак DoS. Сервер версий SQL Server 7.0 и 2000 содержит буфер, позволяющий ему устанавливать специальный канал связи с удаленным источником данных. Хакер может организовать переполнение этого буфера, направив особый запрос через веб-сайт или попытавшись загрузить и выполнить такой запрос. Переполнение буфера может привести к отказу сервера или позволить злоумышленнику выполнить код с теми же системными привилегиями, что и у сервера. Однако использовать эту уязвимость можно не всегда — все зависит от конкретной конфигурации сервера. Патч для SQL Server 2000 находится здесь, а для SQL Server 7.0 — здесь.

Все перечисленные предупреждения об уязвимостях были опубликованы в конце прошлой недели.