Publicidade
Publicidade
03/10/2002
-
12h01
As falhas nos softwares da Microsoft parecem não ter fim. Hoje, de uma só vez, a companhia divulgou quatro boletins de segurança, sendo que dois bugs afetam o sistema operacional Windows.
A principal vulnerabilidade está no recurso Compressed Folders --que "zipa" arquivos e descompacta-os automaticamente, sem a necessidade de ter o soft WinZip no computador. O recurso faz parte do Windows 98 com Plus!, do Millenium e do XP.
O componente da Microsoft não checa as características dos arquivos, podendo abrir qualquer código que um hacker enviar. Dessa forma, o pirata poderia invadir o micro, ter acesso a dados confidenciais e até apagar arquivos.
Além disso, essa função de descompactação poderia colocar um arquivo em um diretório que não o especificado pelo usuário. Com isso, o hacker poderia instalar um arquivo num local desconhecido do usuário.
Outra falha anunciada hoje pela Microsoft está no item Ajuda do HTML do Windows. Uma das funções de controle ActiveX poderia ser explorada por uma página de internet ou por e-mail.
O hacker que conseguir explorar essa brecha ganha os mesmos privilégios que o administrador do sistema. Ele também passa a ter direito de apagar, ler e modificar qualquer arquivo do disco rígido.
Além disso, a Microsoft também detectou falhas nos atalhos dos arquivos da Ajuda HTML. Esses atalhos permitem que os arquivos sejam executados no sistema.
No entanto somente arquivos confiáveis deveriam ter autorização para serem executados. As falhas permitem que essas restrição seja contornada.
Para explorar essa brecha, o hacker teria que passar por um cenário complexo. Teria que utilizar-se de um e-mail HTML contendo um arquivo com extensão .CHM com um desses atalhos.
Mais correções
Um terceiro boletim de segurança da Microsoft disponibiliza um pacote de correção para todas as falhas dos softs SQL Server 7.0, SQL Server 2000 e Microsoft Data Engine (MSDE) 1.0, Microsoft Desktop Engine (MSDE) 2000 anunciadas até hoje.
O último relatório da gigante alerta sobre três vulnerabilidades envolvendo o SFU 3.0 (Microsoft Services for Unix). Os desenvolvedores que criaram aplicativos usando a biblioteca RPC da Sun precisam ficar atentos.
O SFU oferece uma série de serviços para múltiplas plataformas, que visam integrar o ambiente Unix ao Windows. Na versão 3.0, a tecnologia do subsistema Interix é construída de forma que o SFU permita a interoperabilidade e a migração de aplicativos para produtos rodando Microsoft.
A primeira falha envolve a biblioteca XDR, que acompanha a RPC da Sun no SFU 3.0. Um hacker pode enviar uma requisição falsa para o servidor RPC de um computador remoto, corrompendo o programa e derrubando o servidor.
Outra falha inclui o envio de uma requisição contendo o tamanho errado de arquivo, o que poderia levar o servidor a parar, já que requisitaria mais capacidade do que o possível.
Por fim, a terceira brecha é um erro de implementação do RPC. O aplicativo usando o RPC da Sun não confere apropriadamente o tamanho da requisição TCP, podendo levar a um ataque DoS (Denial of Service) no servidor.
Para saber mais sobre cada uma das falhas e baixar os arquivos de correção para elas, confira os links abaixo. Para sanar os bugs, basta baixar os arquivos e instalá=los no sistema:
Compressed Folders
Ajuda do HTML do Windows
Microsoft SQL Server 7.0
Services for Unix 3.0
Novos bugs afetam segurança do Windows; veja correção
da Folha OnlineAs falhas nos softwares da Microsoft parecem não ter fim. Hoje, de uma só vez, a companhia divulgou quatro boletins de segurança, sendo que dois bugs afetam o sistema operacional Windows.
A principal vulnerabilidade está no recurso Compressed Folders --que "zipa" arquivos e descompacta-os automaticamente, sem a necessidade de ter o soft WinZip no computador. O recurso faz parte do Windows 98 com Plus!, do Millenium e do XP.
O componente da Microsoft não checa as características dos arquivos, podendo abrir qualquer código que um hacker enviar. Dessa forma, o pirata poderia invadir o micro, ter acesso a dados confidenciais e até apagar arquivos.
Além disso, essa função de descompactação poderia colocar um arquivo em um diretório que não o especificado pelo usuário. Com isso, o hacker poderia instalar um arquivo num local desconhecido do usuário.
Outra falha anunciada hoje pela Microsoft está no item Ajuda do HTML do Windows. Uma das funções de controle ActiveX poderia ser explorada por uma página de internet ou por e-mail.
O hacker que conseguir explorar essa brecha ganha os mesmos privilégios que o administrador do sistema. Ele também passa a ter direito de apagar, ler e modificar qualquer arquivo do disco rígido.
Além disso, a Microsoft também detectou falhas nos atalhos dos arquivos da Ajuda HTML. Esses atalhos permitem que os arquivos sejam executados no sistema.
No entanto somente arquivos confiáveis deveriam ter autorização para serem executados. As falhas permitem que essas restrição seja contornada.
Para explorar essa brecha, o hacker teria que passar por um cenário complexo. Teria que utilizar-se de um e-mail HTML contendo um arquivo com extensão .CHM com um desses atalhos.
Mais correções
Um terceiro boletim de segurança da Microsoft disponibiliza um pacote de correção para todas as falhas dos softs SQL Server 7.0, SQL Server 2000 e Microsoft Data Engine (MSDE) 1.0, Microsoft Desktop Engine (MSDE) 2000 anunciadas até hoje.
O último relatório da gigante alerta sobre três vulnerabilidades envolvendo o SFU 3.0 (Microsoft Services for Unix). Os desenvolvedores que criaram aplicativos usando a biblioteca RPC da Sun precisam ficar atentos.
O SFU oferece uma série de serviços para múltiplas plataformas, que visam integrar o ambiente Unix ao Windows. Na versão 3.0, a tecnologia do subsistema Interix é construída de forma que o SFU permita a interoperabilidade e a migração de aplicativos para produtos rodando Microsoft.
A primeira falha envolve a biblioteca XDR, que acompanha a RPC da Sun no SFU 3.0. Um hacker pode enviar uma requisição falsa para o servidor RPC de um computador remoto, corrompendo o programa e derrubando o servidor.
Outra falha inclui o envio de uma requisição contendo o tamanho errado de arquivo, o que poderia levar o servidor a parar, já que requisitaria mais capacidade do que o possível.
Por fim, a terceira brecha é um erro de implementação do RPC. O aplicativo usando o RPC da Sun não confere apropriadamente o tamanho da requisição TCP, podendo levar a um ataque DoS (Denial of Service) no servidor.
Para saber mais sobre cada uma das falhas e baixar os arquivos de correção para elas, confira os links abaixo. Para sanar os bugs, basta baixar os arquivos e instalá=los no sistema:
Publicidade
As Últimas que Você não Leu
Publicidade
+ LidasÍndice
- Novo acelerador de partículas brasileiro deve ficar pronto até 2018
- Robôs que fazem sexo ficam mais reais e até já respondem a carícias
- Maratona hacker da ONU premia app que conecta médico a pacientes do SUS
- Confira lista de feeds do site da Folha
- Facebook e Google colaboram para combater notícias falsas na França
+ Comentadas
