LiteNet.Ru - Актуально о ПК и ПО. 2006-2019.
СТАТЬИ | НОВОСТИ | ПРОГРАММЫ | ОБРАТНАЯ СВЯЗЬ | КАРТА САЙТА
Сейчас на сайте: 106 пользователей онлайн
Обновления
Комментарии Сертификат ТР ТС ... [21.12.24]
Материал Смена паролей на компьютерах в сети с помощью AD [04.09.24]
Материал Установил CentOS 7 как корректно настроить кодировку httpd.conf? [14.07.24]
Материал Установил CentOS 7 как легко и просто настроить ssh доступ? [24.03.24]
Комментарии Спасибо... [17.02.24]
Материал Форма ввода php [08.05.23]
Материал Windows 11 LTSC выйдет во второй половине 2024 года [08.05.23]
Материал Microsoft прекратит выпуск обновлений для Windows 10 [29.04.23]
Комментарии Огромный респект и... [04.10.22]
Комментарии не помогло... [10.07.22]
Комментарии не получается войт... [02.11.21]
Комментарии Да нет в редакторе... [05.10.21]
Комментарии Toshiba Tecra s11 ... [21.07.21]
Комментарии Все получилось, сп... [21.07.21]
Комментарии не сработало... [04.06.21]
Комментарии Доброго времени! У... [27.03.21]
Комментарии У меня этот метод ... [19.03.21]
Комментарии всё испробовал,не ... [17.03.21]
Материал Представлена настоящая зарядка по воздуху Xiaomi Mi Air Charge [31.01.21]
Материал Отныне для запуска WhatsApp на ПК и в браузере требуется биометрия [31.01.21]
Материал Google Chrome 88.0.4324.104 [31.01.21]
Материал Avast Free Antivirus 20.10.5824 [31.01.21]
Материал Яндекс.Браузер 20.12.3.138 [31.01.21]
Материал Maxthon 6.1.1.1000 [31.01.21]

RSS

Последние добавленные статьи

Ошибка Word 2007 является функцией, а не багом
18.04.2007

Новые ошибки в Word 2007, заявленные израильским исследователем как уязвимости, по мнению Microsoft, к таковым не относятся. Вместо этого компания утверждает, что так и было задумано.

Исследователь, который неделей раньше опубликовал информацию о багах, к которой были прикреплены скриншоты со сбоями в работе Word, искренне удивился реакции Microsoft на его находки.

В понедельник Мати Аарони (Mati Aharoni), исследователь из Offensive Security, сообщил о трех новых уязвимостях в Word 2007 на секьюрити-сайтах Milw0rm и SecurityVulns.com, снабдив свое сообщение документами Word, выступившими доказательством концепции (proof-of-concept). Microsoft, тем не менее, к такому заявлению осталась равнодушной.

Позднее в четверг пресс-секретарь компании повторно озвучила мнение компании по поводу заключения Microsoft Security Response Center (MSRC), в котором говорится, что "ни одной из уязвимостей не подвержен ни Microsoft Word 2007, ни любое иное приложение из состава Microsoft Office System".

Когда пресс-секретаря попросили уточнить, она сказала, что компания не рассматривает найденные уязвимости как риски в сфере безопасности. Такое поведение Word 2007 , скорее, функция приложения, а не баг. "На самом деле, наблюдаемая проблема в Microsoft Word 2007 заложена в дизайне с целью увеличить безопасность и стабильность путем завершения работы Microsoft Word, когда в нем пытаются открыть неправильно созданный документ" – заявила пресс-секретарь.

Затем она сообщила, что при таких условиях Word 2007 завершает свою работу, и единственное, к чему это может привести – это потеря несохраненных данных. "Приведенный код вызывает завершение работы Microsoft Word и пользователи могут с легкостью перезапустить приложение, чтобы продолжить свою работу".

Такое поведение MSRC в порядке вещей. Ранее MSRC разделила баги на две крупные категории: 1) позволяющие удаленное исполнение произвольного кода и повышающие права; 2) вызывающие отказ в обслуживании (denial-of-service). Ранее MSRC отказалась классифицировать проблемы, вызывающие завершение работы приложений, в качестве уязвимостей. Кроме того, такие проблемы подлежали решению исключительно с выходом сервис-пака.

Такой же позиции придерживается и Дэвид Леблан (David LeBlanc), один из секьюрити-гуру Microsoft, и Майкл Ховард (Michael Howard), соавтор только что изданной книги «Writing Secure Code for Vista». "Вы будете правы, если скажете, что завершение работы приложения, - это всегда плохо, и если иметь ввиду серверный приложения, выполняющиеся в фоновом режиме, то тут я согласен. Завершение работы – это ошибка в коде" – пишет Леблан на блоге MSDN. "Тем не менее, завершение работы приложения может быть меньшей из зол во многих ситуациях. Теория говорит, что в клиентских приложениях завершение работы предпочтительней, чем shell-коды какого-нибудь хитрого парня".

Office 2007 использует именно эту стратегию, как сказал Леблан, который, как и MSRC, отказывается классифицировать такие результаты как DoS- атаку. "Я в корне не согласен с теми, кто классифицирует завершение работы клиентского приложения как DoS-атаку" – заявил он. "Если вы сможете завершить мое приложение так, чтобы я не смог запустить его снова или для этого мне потребуется перезапуск всей системы, тогда это DoS. А если с помощью документа вы завершите мое приложение и я более не смогу загрузить этот документ, то это, по-моему, отличная идея".

Что касается Аарони, то он несколько озадачен ответом Microsoft, что это не уязвимости. "Я получил сообщения от многочисленных пользователей, которые подтвердили завершение работы приложения" – сообщил он в своем блоге. "Надеюсь, что Microsoft оценит возможные последствия данной ошибки".

Представители компании заявляют, что компания продолжит исследование проблемы. "Мы уделим особое внимание возможной реализации уязвимости в предыдущих версиях Microsoft Office" – заявила пресс-секретарь.

Что еще почитать?


Оставленные комментарии:


Всего 0 комментариев


Введите Ваше имя:


Не используйте HTML и ВВ-коды - не работает. Пользуйтесь смайликами :)
Very HappySmileLaughingCoolWinkSurprised
RazzSleepSadShockedEvil or Very MadRolling Eyes

В этом поле Вы можете ввести текст комментария:


До конца всего осталось символов

Код на БОТливость: Код на БОТливость:
Введите код: