IE i bazodanowa mega-dziura

Microsoft poinformował o kolejnej, krytycznej dziurze w swoim produkcie, umożliwiającej włamywaczowi uruchomienie dowolnego, nawet własnego programu na komputerze ofiary. Stosowną łatkę można już pobrać z serwera firmy.

Tym razem sprawa dotyczy Microsoft Data Access Components (MDAC) w wersjach 2.1, 2.5, 2.6 oraz pośrednio przeglądarki Internet Explorer 5.01, 5.5 i 6.0. Błąd tkwi w szeroko rozpowszechnionym oprogramowaniu MDAC, zapewniającym dostęp do baz danych w środowisku Windows (dokładnie - w komponencie RDS, w funkcji Data Stub). Jest ono dostarczane m.in. jako standardowy składnik Windows Me, 2000 oraz XP. Użytkownicy tego ostatniego systemu mogą jednak być spokojni o bezpieczeństwo swoich danych - wykorzystuje on bowiem MDAC w wersji 2.7, która nie zawiera opisywanej luki.

Błąd ten umożliwia włamywaczowi nadpisanie zawartości bufora własnymi danymi za pomocą odpowiednio spreparowanego zapytania HTTP wysłanego do funkcji Data Sub. Jak poinformował Microsoft, błędem tym zagrożony jest zarówno serwer web, jak i oprogramowanie klienckie. Przedstawiciele firmy Foundstone, która wykryła lukę, konsekwencje jej wykorzystania przez hakerów mogłyby teoretycznie być porównywalne z tymi, które spowodowane były działaniami niesławnych robaków Nimda i Code Red.

Więcej informacji i plik do pobrania:
www.microsoft.com/technet/security/bulletin/ms02-065.asp