Connect with us

technokrata

Microsoft: hiba a WINS-ben

Dotkom

Microsoft: hiba a WINS-ben

A Windows Internet Naming Service sebezhetőségét javítja az a patch, melyet tegnap adott ki a Microsoft. Ezenfelül problémásnak bizonyult a Virtual PC for Mac is.

A speciális kialakítással bíró csomagok hosszának WINS általi hitelesítési eljárása rejti magában a 830352-es számú hibát. Ez Windows Server 2003-as környezetben odáig vezethet, hogy a támadó – aki képes egy ilyen csomagot elküldeni a WINS szervernek – le tudja állíttatni a szolgáltatást. Gyakorlatilag szolgáltatásmegtagadó (DoS) támadás hajtható végre ezen sérülékenységgel, melyből csak egy manuális újraindítás térítheti vissza a rendszert.

Ez egyébként azért érinti súlyosabban a Windows Server 2003-at, mert a többi operációs rendszerrel ellentétben rendelkezik egy olyan biztonsági funkcióval, amely képes felismerni azt, ha egy veremalapú puffer túl fog csordulni, s ez ellen tenni is tud. Ez a funkció pedig kényszeríthető arra, hogy leállítsa a szolgáltatást annak érdekében, hogy a rosszindulatú kód futtatását megakadályozza. Ez pedig megteremti feltételeket DoS-támadásra.

Windows NT és 2000 alatt a hiba természete egy kicsit más. A WINS visszautasítja a speciálisan létrehozott csomagot, így a támadás nem eredményez szolgáltatásmegtagadást; ráadásul ezeken a platformokon ilyen módon nem lehetséges kódfuttatás. Ezért ezen operációs rendszerek alatt csak alacsony besorolást kapott a sebezhetőség, míg Windows Server 2003 környezetben fontos szintre minősítették.

Kapcsolódó hír, hogy a Virtual PC for Mac is sebezhetőnek (835150) bizonyult, de a Microsoft ezt is ˝csak˝ fontos kategóriába sorolta be.

Érintett rendszerek

– Microsoft Windows NT Server 4.0 Service Pack 6a
– Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
– Microsoft Windows 2000 Server Service Pack 2, Microsoft Windows 2000 Server Service Pack 3, Microsoft Windows 2000 Server Service Pack 4
– Microsoft Windows Server 2003
– Microsoft Windows Server 2003 64-Bit Edition



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek