Новости Software за день

Свежий набор "заплаток" от Microsoft
Корпорация Microsoft дебютировала в рамках своей кампании (см. нашу новость) по выпуску патчей для своих программных продуктов. Было принято решение о выпуске ряда обновлений системы безопасности в каждый второй вторник месяца. Итак, нашему вниманию представили целых семь бюллетеней, описывающих различные уязвимости программных продуктов Microsoft...

MS03-047: Vulnerability in Exchange Server 5.5 Outlook Web Access Could Allow Cross-Site Scripting Attack (828489). Этот бюллетень предназначен для тех системных администраторов, которые обслуживают Microsoft Exchange Server 5.5 Outlook Web Access. Характер ошибки - XSS (cross-site scripting) уязвимость, связанная с методами кодирования в HTML в форме Compose New Message компонента Outlook Web Access. Рейтинг уязвимости - "Средний", но патч - настоятельно рекомендуется к установке. Подробнее смотрите (и скачивайте нужный патч) здесь.

MS03-046: Vulnerability in Exchange Server Could Allow Arbitrary Code Execution (822363). Данная информация может быть полезна системным администраторам, которые обслуживают Microsoft Exchange Server. Уязвимость распространяется на Microsoft Exchange Server версий 5.5 (с установленным Service Pack 4) и 2000 (с установленным Service Pack 3). В случае Microsoft Exchange Server версий 5.5 уязвимость располагается в Internet Mail Service (и позволяет злоумышленнику несанкционированно подсоединится по SMTP-порту, "замусорить" память и вызвать сбой или аварийное завершение программы из-за нехватки памяти). Степень необходимости установки патча - "Важная". В случае Microsoft Exchange Server версии 2000 ситуация - сложнее. Злоумышленник также может несанкционированно подсоединится по SMTP-порту, и послать специальным образом составленный запрос, после чего может не только вызвать сбой Denial of Service, но и в ряде случаев использовать ошибку переполнения буфера и запустить свой код. Степень важности патча - "Критическая". По обоим случаям (Microsoft Exchange Server версий 5.5 и 2000) подробности (и ссылки на нужный патч) размещены здесь.

MS03-045: Buffer Overrun in the ListBox and in the ComboBox Control Could Allow Code Execution (824141). Актуален для пользователей операционных систем Windows следующих версий: NT Workstation 4.0 (SP6a), NT Server 4.0 (SP6a), NT Server 4.0 Terminal Server Edition (SP6), 2000 (SP2, SP3 или SP4), XP (Final или с SP1), XP 64 bit Edition, XP 64 bit Edition Version 2003, Server 2003, Server 2003 64 bit Edition. Уязвимость связана с вызовом компонентами ListBox и ComboBox функции, хранящейся в User32.dll, и возможностью вызывать ошибку переполнения буфера. В принципе, латать эту уязвимость особенно необходимо пользователям Windows 2000 (рейтинг патча - "Важный"), а для остальных операционных систем она имеет рейтинг критичности "Низкий". Подробнее смотрите (и скачивайте нужный патч) здесь.

MS03-044: Buffer Overrun in Windows Help and Support Center Could Lead to System Compromise (825119). Если предыдущая ошибка не распространялась на операционную систему Windows Millennium, то на этот раз бюллетень MS03-044 актуален для пользователей всех последних версий Windows, а именно: Millennium, NT Workstation 4.0 (SP6a), NT Server 4.0 (SP6a), NT Server 4.0 Terminal Server Edition (SP6), 2000 (SP2, SP3 или SP4), XP (Final или с SP1), XP 64 bit Edition, XP 64 bit Edition Version 2003, Server 2003, Server 2003 64 bit Edition. Уязвимость кроется в справочной системе и центре поддержки (Help и Support Center), конкретнее - в незащищённом буфере файлов, ассоциируемых с HCP-протоколом,. Установка патча - критична для пользователей Windows XP и Windows Server 2003, для остальных систем уровень уязвимости - "Низкий" (из-за отсутствия поддержки HCP-протокола), однако уязвимый код также имеется в наличии. Подробнее смотрите (и скачивайте нужный патч) здесь.

MS03-043: Buffer Overrun in Messenger Service Could Allow Code Execution (828035). В этом документе освещаются "прохудившиеся" службы Messenger'а (Messenger Service). Они некорректно предварительно определяют длину сообщения перед передачей, что может привести к переполнению буфера и попытке запуска злоумышленного кода. Уязвимые системы Windows следующих версий: NT Workstation 4.0 (SP6a), NT Server 4.0 (SP6a), NT Server 4.0 Terminal Server Edition (SP6), 2000 (SP2, SP3 или SP4), XP (Final или с SP1), XP 64 bit Edition, XP 64 bit Edition Version 2003, Server 2003, Server 2003 64 bit Edition. В случае с Windows Server 2003 важность патча - "Умеренная", для остальных же установка "заплатки" необходима (уровень "Критичный"). Подробнее смотрите (и скачивайте нужный патч) здесь.

MS03-042: Buffer Overflow in Windows Troubleshooter ActiveX Control Could Allow Code Execution (826232). Бюллетень предназначен для пользователей операционных систем Windows 2000 (с установленными SP2, SP3 или SP4). Уязвимость содержится в системе управления Microsoft Local Troubleshooter ActiveX. Модуль управления ActiveX (Tshoot.ocx) содержит ошибку переполнения буфера и позволяет злоумышленнику запускать свой код на машине жертвы. Рейтинг уязвимости - "Критичный". Подробнее смотрите (и скачивайте нужный патч) здесь.

MS03-041: Vulnerability in Authenticode Verification Could Allow Remote Code Execution (823182). Данная лазейка в системе безопасности возникает на системах Windows следующих версий: NT Workstation 4.0 (SP6a), NT Server 4.0 (SP6a), NT Server 4.0 Terminal Server Edition (SP6), 2000 (SP2, SP3 или SP4), XP (Final или с SP1), XP 64 bit Edition, XP 64 bit Edition Version 2003, Server 2003, Server 2003 64 bit Edition. Уязвимость расположена в Authenticode, который при нехватке памяти может позволить модулю ActiveX скачаться и установиться без необходимости дополнительного подтверждения со стороны пользователя. Степень важности установки патча - "Критичная" для всех систем, кроме Windows Server 2003 (рейтинг критичности - "Умеренный"). Подробнее об уязвимости смотрите (и скачивайте нужный патч) здесь.

В конце этой большой новости замечу, что вы можете не только скачивать указанные "заплатки" со страничек Microsoft, но и воспользоваться службами Windows Update.


Они оперативно "залатают" найденные в вашей системе дыры, описанные в указанных семи бюллетенях (естественно, лишь в случае необходимости - наличия у вас того или иного программного продукта Microsoft)...
Автор: Алексей Перевертайлов Дата: 16.10.2003 07:35
Новые прошивки BIOS: Abit, ASUSTeK, Gigabyte
1. Тайваньская компания Abit обновила прошивку BIOS к материнским платам модели IS-50:

версия 1.3 (16.10.2003), размер 303.5 Кб: линк

• устранены проблемы с перезагрузкой при установке системного пароля
• устранены проблемы с перезагрузкой при использовании FX5600 или FX5900
• исправлены ошибки с подразделе "PC health"
• улучшено определение IDE-порта
• улучшена фунцкия разгона

2. Компания ASUSTeK обновила прошивки BIOS к следующим материнским платам:

PP-DLW, прошивка версии 028, размер 283 Кб: линк

• устранены проблемы с загрузкой при использовании видеокарт 3Dlabs

SK8N, прошивка версии 1003, размер 405.5 Кб: линк

• добавлена поддержка режима "ECP+EPP" для LPT-порта
• добавлена возможность загрузки с устройств USB Thumb Disk
• устранены проблемы с 3DMark2003 на системах с 4G памяти
• установлены корректные значения регистров CK8 PCI P2P/AGP P2P
• добавлена возможность изменения FID/VID процессоров Athlon FX
• устранены проблемы с прохождением тестов Win2K HCT
• Promise RAID ROM обновлён до версии 1.00.0.37

3. Компания Gigabyte выложила новые прошивки BIOS к следующим материнским платам:

GA-8IG1000 Pro (Rev 2.0), прошивка версии FC, размер 535 Кб: линк

• устранены проблемы с зависаниями при загрузке с резервной BIOS

GA-8IK1100 (Rev 2.0), прошивка версии Fbc beta, размер 539 Кб: линк

• повышена стабильность при использовании 4 х 400 DDR

GA-8I865GVMK, прошивка версии F2, размер 442 Кб: линк

• устранены проблемы с перезагрузками в Windows XP

GA-K8NNXP-940, прошивка версии F2, размер 457.5 Кб: линк

GA-7ZXR-C (3.x), прошивка версии FB, размер 409 Кб: линк

• устранены проблемы с загрузкой ОС при использовании некоторых видеокарт ATI
• добавлена поддержка процессоров Athlon XP 2400+/2600+
• обновлён PROMISE RAID/ATA100 BIOS

GA-7ZXR-C (2.x), прошивка версии FB, размер 409 Кб: линк

• устранены проблемы с загрузкой ОС при использовании некоторых видеокарт ATI
• добавлена поддержка процессоров Athlon XP 2400+/2600+
• обновлён PROMISE RAID/ATA100 BIOS

GA-7ZXR (3.x), прошивка версии FB, размер 409 Кб: линк

• устранены проблемы с загрузкой ОС при использовании некоторых видеокарт ATI
• добавлена поддержка процессоров Athlon XP 2400+/2600+
• обновлён PROMISE RAID/ATA100 BIOS

GA-7ZXR (2.x), прошивка версии FB, размер 409 Кб: линк

• устранены проблемы с загрузкой ОС при использовании некоторых видеокарт ATI
• добавлена поддержка процессоров Athlon XP 2400+/2600+
• обновлён PROMISE RAID/ATA100 BIOS

GA-7ZXR (1.x), прошивка версии FB, размер 409 Кб: линк

• устранены проблемы с загрузкой ОС при использовании некоторых видеокарт ATI
• добавлена поддержка процессоров Athlon XP 2400+/2600+
• обновлён PROMISE RAID/ATA100 BIOS

GA-6VX7-4X-AP, прошивка версии F4, размер 376 Кб: линк

• добавлена поддержка HDD объёмом более 137G
• устранены проблемы с зависаниями при использовании Intel 825xx Lan
• добавлена поддержка функции GIGABYTE "Q-Flash"
Автор: Ильдар Ахметжанов Дата: 16.10.2003 10:13
Новые BIOS, драйверы: ASRock, EPoX, Promise
1. Компания ASRock обновила прошивки BIOS к следующим моделям материнских плат:

K7S8XE, прошивка версии 1.4, размер 193 Кб: линк

• добавлена возможность загрузки с SIS 180 SATA
• добавлена возможность конфигурирования USB 2.0 контроллера
• скорректирована работа функции RTC Alarm

K7S8X, прошивка версии 2.2, размер 193 Кб: линк

• добавлена возможность загрузки с SIS 180 SATA
• добавлена возможность конфигурирования USB 2.0 контроллера
• скорректирована работа функции RTC Alarm

2. Компания EPoX выложила новую версию прошивки BIOS к материнским платам модели EP-8K9A2, основанным на VIA Apollo KT400 / VIA VT8235:

версия от 07.10.2003, размер 214 Кб: линк

3. Компания Promise Technology выложила очередную версию драйвера (под операционные системы Windows 98/ME/NT4/2000/XP/2003) к контроллерам модели Ultra133 TX2:

версия 2.00.0.43 (15.10.2003), размер 147 Кб: линк

• устранены проблемы с инсталляцией Windows XP
Автор: Ильдар Ахметжанов Дата: 16.10.2003 11:02
Новые BIOS, драйверы: MSI, Soltek, Tyan
1. Тайваньская компания Micro-Star International (MSI) выложила очередную версию MSIPVS (под ОС Windows 98SE/ME/2000/XP) к TV-тюнерам модели TV@nywhere Master (MS-8606):

версия 2.0.34.198 (16.10.2003), размер 10.80 Мб: линк

2. Компания Soltek выложила новые прошивки BIOS к следующим материнским платам:

SL-75FRN2-L/-RL, прошивка версии D1.6L, размер 243 Кб: линк

SL-75FRN2, прошивка версии D1.6, размер 243 Кб: линк

3. Корпорация Tyan обновила прошивки BIOS к следующим моделям материнских плат:

Tiger i7500 (S2722), прошивка версии 1.02, размер 236 Кб: линк

Tomcat K8S (S2850), beta-версия прошивки, размер 318 Кб: линк
Автор: Ильдар Ахметжанов Дата: 16.10.2003 11:36