|
Microsoft закрыла критическую уязвимость в HTTP.sys
Microsoft устранила критическую уязвимость в стеке HTTP-протоколов Windows, известном как HTTP.sys. Эксплуатация этой бреши неизбежна и может иметь разрушительные последствия, сообщает «Лаборатория Касперского».
MS15-034 — один из четырех критических бюллетеней, выпущенных разработчиком в минувший вторник. Эксперты предупреждают, что эксплойт данной уязвимости весьма прост и позволяет удаленно выполнить код и повысить привилегии на скомпрометированной машине.
«Следовательно, в том случае, когда злоумышленник знает, как создать «особым образом составленный HTTP-запрос», он просто начнет атаковать все сервера подряд, пока не найдет пригодное для эксплойта устройство, — поясняет Эндрю Стормс (Andrew Storms), вице-президент по безопасности продукции New Context. — В этой связи беспокоит в первую очередь тот факт, что временный фикс от Microsoft предоставляет весьма ограниченные возможности и плохо держит защиту, пока IT-админы тестируют и устанавливают патч во вверенных им сетях. Второй проблемой является широкое распространение Windows-серверов. Хотя Linux-собратья и превосходят их по численности, корпоративные пользователи отдают предпочтение серверам, работающим под Windows, и во многих случаях хранят на них большие ценности».
В качестве временной меры Microsoft рекомендует отключить кэширование на уровне ядра IIS, но вместе с тем отмечает, что такое изменение повлечет снижение производительности. По словам разработчика, данная уязвимость пока не используется «in the wild», но обнаружена в Windows 7, Windows Server 2008 R2, Windows 8/8.1, Windows Server 2012/2012 R2, а также в Server Core — сокращенном варианте реализации Windows Server 2008.
«Атакующий может использовать эту уязвимость, чтобы выполнить код на IIS-сервере с правами пользователя, — предостерегает технический директор Qualys Вольфганг Кандек (Wolfgang Kandek). — Это откроет возможность для повышения привилегий путем эксплойта другой локальной уязвимости; права администратора позволят злоумышленнику установить постоянный эксплойт-код. Такая атака проста в исполнении, поэтому ее необходимо быстро пресечь. Если нет возможности сразу установить этот патч, воспользуйтесь хотя бы временным предложением Microsoft и отключите в IIS кэширование. Если вы оператор Windows-серверов, данную уязвимость следует пропатчить в первую очередь».
БЕСПЛАТНЫЕ ПРОГРАММЫ
ТОП-Сегодня
Программы: Интернет
Бесплатный VPN-клиент. Поддерживаются OpenVPN, IPsec, L2TP, MS-SSTP, L2TPv3 и EtherIP, а также собственный протокол
Разработчик:
SoftEther
|
Загрузок:
84377
|
|
Бесплатная
|
ТОП-Сегодня
Программы: Мультимедиа
K-Lite Codec Pack Full — набор кодеков и инструментов для проигрывания аудио и видео практически любых форматов
Разработчик:
K-Lite
|
Загрузок:
5932756
|
|
Бесплатная
|
ТОП-Сегодня
Программы: iOS
Мессенджер, изначально ориентированный на геймеров, но со временем получивший популярность и среди других групп пользователей
Разработчик:
Discord, Inc.
|
Загрузок:
3770
|
|
Бесплатная
|
ТОП-Сегодня
Программы: iOS
WhatsApp — мессенджер для iPhone. Все сообщения, фотографии, видео, документы и звонки защищены сквозным шифрованием
Разработчик:
WhatsApp Inc.
|
Загрузок:
163737
|
|
Бесплатная
|
ТОП-Сегодня
Программы: Безопасность
Dr.Web CureIt! — бесплатная антивирусная программа на основе ядра антивируса «Доктор Веб»
Разработчик:
Doctor Web, Ltd.
|
Загрузок:
1857839
|
|
Бесплатная
|
ТОП-Сегодня
Программы: Android
Приложение медиаплатформы «Смотрим». Доступен весь контент производства ВГТРК - телеканалы, радиостанции, сайт Вести.ру и интернет-кинотеатр с сериалами, фильмами, документальным кино, телешоу и детскими передачами
Разработчик:
ВГТРК
|
Загрузок:
4500
|
|
Бесплатная
|
ТОП-Сегодня
Программы: iOS
YouTube — официальное приложение видеосервиса. Позволяет смотреть видеоролики, следить за каналами и публиковать собственные видео
Разработчик:
Google
|
Загрузок:
55921
|
|
Бесплатная
|
ТОП-Сегодня
Программы: Текст
HxD Hex Editor — бесплатный, надежный и быстро работающий шестнадцатеричный редактор
Разработчик:
Maël Hörz
|
Загрузок:
76630
|
|
Бесплатная
|
ТОП-Сегодня
Программы: Интернет
Telegram Desktop — мессенджер с поддержкой end-to-end шифрования, позволяющий обмениваться текстовыми сообщениями, а также фото- и видео-файлами
Разработчик:
Telegram
|
Загрузок:
38872
|
|
Бесплатная
|
23.06.2020 18:39
Microsoft выпустила обновление для операционных систем Windows 7 и 8.1, устанавливающее новый браузер Edge на движке Chromium
27.02.2020 22:12
По просьбам пользователей компания Microsoft открыла «горячую линию» для ответа на вопросы по поводу окончания поддержки Windows 7
27.01.2020 06:21
Фонд свободного ПО объявил сбор подписей за открытие исходного кода операционной системы Windows 7
24.01.2020 15:26
МВД России закупило компьютеры на отечественной операционной системе на общую сумму 1,4 млрд руб.
22.01.2020 03:04
У миллионов пользователей Windows 7 после прекращения компанией Microsoft поддержки этой операционной системы появилось два пути, чтобы обезопасить себя и свои данные
|
05.02.2015 02:04
Microsoft выпустила новый патч для Windows 10
04.04.2015 16:10
Компания Microsoft может открыть исходный код операционной системы Windows
06.09.2014 06:41
В новой версии операционной системы Windows появится центр уведомлений
04.04.2015 17:17
Режим чтения в новом браузере Microsoft под кодовым названием Project Spartan показали на видео
26.02.2011 20:20
В вебе появилась информация о графике выхода тестовых версий операционной системы Windows 8
|
|
