Microsoft выпустил firewall с лазейкой для хакеров Алексей Рерих 18.04.2001 13:00 версия для печати

Как сообщило во вторник агентство Associated Press, программный пакет - Internet Security and Acceleration (ISA), первый продукт корпорации Microsoft на рынке защиты корпоративных сетей - был выпущен с "дырой", позволяющей с легкостью совершать так называемые DoS-атаки (denial of service - отказ от обслуживания, сервер перегружается атакующими запросами, в результате чего система отказывается отвечать на дальнейшие запросы пользователей).

Первая версия пакета Internet Security and Acceleration была выпущена 14 февраля этого года и представляет собой firewall и программный прокси-сервер, предназначенные для защиты корпоративных компьютерных сетей.

В понедельник на сайте корпорации был выложен патч для латания дыры, о существовании которой компания FSC Internet, занимающаяся вопросами сетевой безопасности, сообщила еще две недели тому назад.

Исполнительный директор FSC Internet, Ричард Рейнер, заявил, что на обнаружение слабого места у него ушло около 15 минут обычного в таких случаях тестирования.

В результате этого краткого исследования было установлено, что при запуске одной из программ пакета - Web publisher - внешний пользователь может послать серверу серию команд. В результате чего пользователи, пытающиеся попасть на корпоративный сайт, не могут этого сделать. Равно и внутренние пользователи корпоративной сети в результате атаки не могут пользоваться Интернетом - они просто не получают доступа для выхода в Сеть.

"Редко встретишь firewall-продукты, которые имеют такие очевидные дыры", - заявил Ричард Рейнер.

Менеджер отдела разработок программ безопасности Microsoft, Скотт Кальп, сказал, что перед тем, как выпустить продукт на рынок, ISA была тщательно проверена на предмет безопасности и интенсивно оттестирована. Кальп также заявил, что этот пакет используется на сайте, принадлежащем самой корпорации.

"Мы в курсе, что любое ПО всегда имеет какие-нибудь баги, и что некоторые из этих багов могут отражаться на безопасности, - сказал Кальп. - Но то, что кто-то какой-то баг обнаружил, еще ничего не говорит о качестве самого кода программы".

Кальп также заметил, что, использовав эту дыру, взломщик не может получить доступа к какой-либо информации, хранящейся на компьютерах, включенных в корпоративную сеть.

Обсудить в форуме (Сообщений : 0)

ССЫЛКИ ПО ТЕМЕ

Сайт Microsoft, защищенный пакетом ISA dailynews.yahoo.com/h/ap/20010417/tc/microsoft_security_1.html

МАТЕРИАЛЫ ПО ТЕМЕ

Microsoft делает mp3 хуже - 13.04.01
Американский воин 2003 года будет работать под ОС Windows 2000 - 11.04.01
Xerox запрещает Windows XP - 09.04.01
Outlook 2002: письма не открываются, не редактируются и не возвращаются - 09.04.01
У PGP обнаружена дыра в электронной подписи - 21.03.01
NET-стратегия Microsoft: сделать хотел грозу, а получил... - 20.03.01
В операционной системе Palm оставлена лазейка для хакеров - 05.03.01
Через дыру в визитке Outlook может нанести визит хакер - 26.02.01
HackZone: все почтовые веб-интерфейсы - с дырочками - 13.02.01
Новозеландский сервер Microsoft не избежал участи своих собратьев - 23.01.01
В системе Buy.com обнаружена "дыра", но кредитных карт хакеры там не найдут - 13.10.00
"Дыры" в Internet Explorer уже никого не удивляют - 27.09.00