BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/rsn/archive/2005/11/14.html

Патч от Sony оказался опаснее того, что он исправляет
dl // 16.11.05 08:08
Просто нет слов.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2005/11/14.html]
Казалось бы, после того как Sony объявила о прекращении выпуска дисков с DRM-защитой, на этой истории можно поставить точку. Но у ребят из First4Internet, делающих эту защиту, обнаружилось просто фантастическое умение выращивать грабли на ровном месте и тут же на них с треском наступать.

Как известно, практически в самом начале этого скандала Sony предоставила своим пользователям возможность удалить защитный софт, предварительно заполнив форму на своем веб-сервере. При этом на машину пользователя скачивается и устанавливается ActiveX-компонент от First4Internet, названный CodeSupport, который и проделывает работу по удалению.

Прелесть ситуации заключается в том, что CodeSupport остается в системе и после завершения своей работы. Причем любой сайт может использовать его для загрузки и исполнения любого кода - он не проверяет, что скачиваемый код исходит от Sony или First4Internet, а заодно помечен как безопасный для использования в скриптах, так что все это будет проделано незаметно для пользователя.

По очень предварительным оценкам число систем, зараженных CodeSupport, может достигать полумиллиона. Нет слов.

Источник: Schneier on Security    
теги: sony, activex  |  предложить новость  |  обсудить  |  все отзывы (4) [15591]
назад «  » вперед

аналогичные материалы
Февральские обновления от MS // 09.02.10 23:34
Октябрьские обновления от MS // 14.10.09 00:19
Сентябрьские обновления от MS // 08.09.09 23:42
Новая атака грозит воскресить сотни закрытых уязвимостей // 28.07.09 01:06
Июльские обновления от MS // 14.07.09 23:23
Августовские обновления от MS // 12.08.08 23:46
Обход защиты памяти в Vista // 12.08.08 02:11
 
последние новости
Три миллиона электронных замков готовы открыть свои двери // 22.03.24 20:22
Doom на газонокосилках // 28.02.24 17:19
Умер Никлаус Вирт // 04.01.24 14:05
С наступающим // 31.12.23 23:59
Четверть приложений, использующих Log4j, до сих пор уязвима // 11.12.23 18:29
Google Drive находит файлы // 07.12.23 01:46
Google Drive теряет файлы // 27.11.23 20:02

Комментарии:

Это ж надо так просохатиться... Чем брэндовее, тем гавёнее, ещё в прошлом веке выведена формула 8-)) 16.11.05 09:23  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Бренд тут нипричем. Просто Сони обленилась и решила довериться стороннему разработчику у которого руки не от туда растут. :) А теперь пожинают плоды собственной беспечности. 16.11.05 15:47  
Автор: AntonK Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Как это "нипричем"? Еще как. Постоянно продвигают свои... 16.11.05 22:42  
Автор: KeF Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Как это "нипричем"? Еще как. Постоянно продвигают свои стандарты, скупают студии и вообще обаглели.
П-ц! "Забрали свое барахло обратно, но при этом забыли закрыть ворота"... 8-) 17.11.05 03:44  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
<добавить комментарий>





  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach