BugTraq.Ru
 Русский BugTraq
https://bugtraq.ru/rsn/archive/2004/02/15.html

Серьезнейшая уязвимость во всех ОС семейства NT
dl // 11.02.04 00:21
Библиотека ASN.1 (Abstract Syntax Notation, предназначенная для стандартизации передачи данных между различными платформами) содержит переполнение буфера, способное привести к исполнению произвольного кода на удаленной системы.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2004/02/15.html]
Подвержены все системы семейства NT, начиная с NT4 SP6a.

Уязвимость была обнаружена eEye Digital Security еще в прошлом июле (!), ее обнародование было задержано до выхода патча. Любопытно, что даты всех исправленных файлов относятся еще к сентябрю/октябрю прошлого года, все остальное время явно шло их тестирование. Разумеется, установка патча крайне желательна.

Источник: MS Security Bulletin MS04-007    
теги: eeye  |  предложить новость  |  обсудить  |  все отзывы (4) [18961]
назад «  » вперед

аналогичные материалы
MS06-042: дубль два // 25.08.06 00:26
Последний патч IE открывал доступ в систему // 23.08.06 02:01
Уязвимость в Symantec Antivirus // 27.05.06 02:52
Два неофициальных патча IE // 29.03.06 02:30
eEye продолжает подсчитывать уязвимости // 04.08.05 01:34
eEye обнаружила еще одну уязвимость в IE // 03.08.05 02:40
eEye нашла очередные уязвимости в IE и Outlook // 14.05.05 01:27
  
последние новости
Бэкдор в xz/liblzma, предназначенный для атаки ssh-серверов // 30.03.24 17:23
Три миллиона электронных замков готовы открыть свои двери // 22.03.24 20:22
Doom на газонокосилках // 28.02.24 17:19
Умер Никлаус Вирт // 04.01.24 14:05
С наступающим // 31.12.23 23:59
Четверть приложений, использующих Log4j, до сих пор уязвима // 11.12.23 18:29
Google Drive находит файлы // 07.12.23 01:46

Комментарии:

Ошибка связана с переполнением буфера. К зависанию системы... 11.02.04 17:19  
Автор: suv Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Ошибка связана с переполнением буфера. К зависанию системы это привести может, ясен пень, из-за выполнения случайного кода. А к удаленному управлению - это просто смешно. Нельзя управлять системой с помощью случайного кода.

Обычный маркеитинг. Мы заботимся о вас и вашем здоровье. (Иначе бы они целый год не ждали. Делов на год - ошибку исправить)
не случайного кода, а произвольного 11.02.04 19:10  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
т.е. того, который мы туда соизволим залить.
Не помню ни одного buffer overflow 11.02.04 18:33  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Который не был бы в конце концов заюзан для исполнения произвольного кода. В принципе можно даже говорить о том, что "переполнение буфера" == "исполнение произвольного кода"

> Ошибка связана с переполнением буфера. К зависанию системы
> это привести может, ясен пень, из-за выполнения случайного
Кто сказал случайного? Буфер переполняется НАШИМИ данными, которые мы можем подготовить как угодно. В том числе и подготовить к исполнению

> кода. А к удаленному управлению - это просто смешно. Нельзя
> управлять системой с помощью случайного кода.
Ой ли :-)
Смешно как раз писать такое. Скажите это msblast-у, который тоже использовал переполнение буфера в RPC DCOM :-)

> Обычный маркеитинг. Мы заботимся о вас и вашем здоровье.
> (Иначе бы они целый год не ждали. Делов на год - ошибку
> исправить)
Так Вы в маркетинговом отделе микрософта работаете? :-) Откуда такая осведомленность о маркетинговой политике мс-а?
Хех... а есть более конкретная инфа о баге? 12.02.04 16:58  
Автор: DgtlScrm Статус: Member
<"чистая" ссылка>
<добавить комментарий>





  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach