BugTraq.Ru: Патч от Sony оказался опаснее того, что он исправляет // версия для печати

Как известно, практически в самом начале этого скандала Sony предоставила своим пользователям возможность удалить защитный софт, предварительно заполнив форму на своем веб-сервере. При этом на машину пользователя скачивается и устанавливается ActiveX-компонент от First4Internet, названный CodeSupport, который и проделывает работу по удалению.

Прелесть ситуации заключается в том, что CodeSupport остается в системе и после завершения своей работы. Причем любой сайт может использовать его для загрузки и исполнения любого кода - он не проверяет, что скачиваемый код исходит от Sony или First4Internet, а заодно помечен как безопасный для использования в скриптах, так что все это будет проделано незаметно для пользователя.

По очень предварительным оценкам число систем, зараженных CodeSupport, может достигать полумиллиона. Нет слов.

Источник: Schneier on Security

теги: sony, activex | предложить новость | обсудить | все отзывы (4)

[16186]

назад « » вперед

аналогичные материалы

Февральские обновления от MS // 09.02.10 23:34
Октябрьские обновления от MS // 14.10.09 00:19
Сентябрьские обновления от MS // 08.09.09 23:42
Новая атака грозит воскресить сотни закрытых уязвимостей // 28.07.09 01:06
Июльские обновления от MS // 14.07.09 23:23
Августовские обновления от MS // 12.08.08 23:46
Обход защиты памяти в Vista // 12.08.08 02:11

последние новости

Зловреды выбирают Lisp и Delphi // 30.03.25 23:26
Уязвимости в Mongoose ставят под удар MongoDB // 20.02.25 18:23
По роутерам Juniper расползается бэкдор, активирующийся "волшебным пакетом" // 27.01.25 17:33
С наступающим // 31.12.24 23:59
Microsoft обещает радикально усилить безопасность Windows в следующем году // 19.11.24 17:09
Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10
20 лет Ubuntu // 20.10.24 19:11

Комментарии: