Microsoft выпустил firewall с лазейкой для хакеров

Author:

Алексей Рерих

Как сообщило во вторник агентство Associated Press, программный пакет – Internet Security and Acceleration (ISA), первый продукт корпорации Microsoft на рынке защиты корпоративных сетей – был выпущен с “дырой”, позволяющей с легкостью совершать так называемые DoS-атаки (denial of service – отказ от обслуживания, сервер перегружается атакующими запросами, в результате чего система отказывается отвечать на дальнейшие запросы пользователей).

Первая версия пакета Internet Security and Acceleration была выпущена 14 февраля этого года и представляет собой firewall и программный прокси-сервер, предназначенные для защиты корпоративных компьютерных сетей.

В понедельник на сайте корпорации был выложен патч для латания дыры, о существовании которой компания FSC Internet, занимающаяся вопросами сетевой безопасности, сообщила еще две недели тому назад.

Исполнительный директор FSC Internet, Ричард Рейнер, заявил, что на обнаружение слабого места у него ушло около 15 минут обычного в таких случаях тестирования.

В результате этого краткого исследования было установлено, что при запуске одной из программ пакета – Web publisher – внешний пользователь может послать серверу серию команд. В результате чего пользователи, пытающиеся попасть на корпоративный сайт, не могут этого сделать. Равно и внутренние пользователи корпоративной сети в результате атаки не могут пользоваться Интернетом – они просто не получают доступа для выхода в Сеть.

“Редко встретишь firewall-продукты, которые имеют такие очевидные дыры”, – заявил Ричард Рейнер.

Менеджер отдела разработок программ безопасности Microsoft, Скотт Кальп, сказал, что перед тем, как выпустить продукт на рынок, ISA была тщательно проверена на предмет безопасности и интенсивно оттестирована. Кальп также заявил, что этот пакет используется на сайте, принадлежащем самой корпорации.

“Мы в курсе, что любое ПО всегда имеет какие-нибудь баги, и что некоторые из этих багов могут отражаться на безопасности, – сказал Кальп. – Но то, что кто-то какой-то баг обнаружил, еще ничего не говорит о качестве самого кода программы”.

Кальп также заметил, что, использовав эту дыру, взломщик не может получить доступа к какой-либо информации, хранящейся на компьютерах, включенных в корпоративную сеть.

ССЫЛКИ ПО ТЕМЕ


Сайт Microsoft, защищенный пакетом ISA dailynews.yahoo.com/h/ap/20010417/tc/microsoft_security_1.html

МАТЕРИАЛЫ ПО ТЕМЕ


Microsoft делает mp3 хуже13.04.01


Американский воин 2003 года будет работать под ОС Windows 200011.04.01


Xerox запрещает Windows XP09.04.01


Outlook 2002: письма не открываются, не редактируются и не возвращаются09.04.01


У PGP обнаружена дыра в электронной подписи21.03.01


NET-стратегия Microsoft: сделать хотел грозу, а получил…20.03.01


В операционной системе Palm оставлена лазейка для хакеров05.03.01


Через дыру в визитке Outlook может нанести визит хакер26.02.01


HackZone: все почтовые веб-интерфейсы – с дырочками13.02.01


Новозеландский сервер Microsoft не избежал участи своих собратьев23.01.01


В системе Buy.com обнаружена “дыра”, но кредитных карт хакеры там не найдут13.10.00


“Дыры” в Internet Explorer уже никого не удивляют27.09.00


Союз Журналистов