UPDATE - новые заплатки от Microsoft

Алексей Б.Б.(alexys@winfo.org)

Спецвыпуск Xakep, номер #026, стр. 026-094-1

Ожидалось, что после выпуска таких глобальных обновлений, как 3-ий сервиспак для Win2K и 1-ый SP для Windows XP, ребята из Майкрософта возьмут долгий отпуск. Возможно, так и было, но работа по доведению до ума товаров от M$ все же продолжается. Понятное дело, новые заплатки небольшие, но некоторые все же важны.

ОБНОВЛЕНИЕ Q323255

Касается всех любителей полазить по сайтам (особенно зарубежным) с крэками и порнушкой. Везде используемый в виндах язык разметки страниц HTML поддерживает компоненты управления Active X, а он, в свою очередь, дает много возможностей для влезания в комп без спроса. Причем троянов тут нет, так что антивирусники будут молчать. С помощью компонентов Active X можно вызвать переполнение буфера, и в этот момент винды могут стать очень уж беззащитными. Попасть на такие страницы можно при поиске крэков или серфинга по порнушным сайтам, а можешь просто дождаться получения HTML-письма, которое ты откроешь аутлуком :). Среди создателей таких сайтов и любителей спама полно любителей поживиться чужими паролями. Пусть даже у тебя нет кредиток, а на последние деньги ты купил журнал, который сейчас читаешь, но ты же не собираешься вешать на свой комп табличку с надписью "Welcome"? Вот и я так думаю, что не собираешься. В таком случае пора обезопасить свою (да и не только свою) систему, дабы не лазили всякие. Ведь не перестанешь же ты искать крэки к свежим прогам :).

Файлами справки в виндах (те, что с расширением .chm) являются откомпиленные HTML-файлы. В таком виде страницы архивируются и занимают меньше места. Они так же, как и обычные HTML-страницы, поддерживают Active X. И точно так же при их просмотре может быть вызвано переполнение буфера со всеми вытекающими. Если ты не качал никаких файлов справки, то можешь расслабиться и отправиться тусить, но если качал таковые, то давно пора предохраниться от возможных неприятностей. Хотфикс, закрывающий возможность переполнения буфера и стороннее вмешательство в систему, выпущен мелкомягкими для всех версий виндов. Можно скачать его, используя Windows Update, но потребуется много времени. Поэтому лучше залезть на страницу, исходя из версии твоих виндов, и скачать его оттуда. Вынужден обломать юзателей Win Me - им придется пользоваться только Windows Update'ом для добывания заплатки.

Windows 98 and Windows 98 SE: http://www.microsoft.com/windows98/downloads/contents/WUCritical/q323255/default.asp

Windows NT 4.0: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=43308

Windows NT 4.0, Terminal Server Edition: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=43308

Windows 2000: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40213

Windows XP: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41834

Владельцы XP смогут заинсталлить это обновление только при установленном сервиспаке (подробнее в 11-ом номере журнала). Такой вот некрасивый жест микрософта владельцам пиратских версий Win XP, которым не судьба поставить SP. На двухтысячные нужно ставить апдейт, даже если уже стоит 3-ий сервиспак. По заявлению мелкомягких, этот хотфикс войдет в 4-ый сервиспак для двухтысячных. Апдейт небольшого размера, но это не умаляет его важности. Скачал, запустил, перегрузился и почувствовал разницу.