Ждём новой эпидемии?

Microsoft продолжает публиковать пугающие Security Bulletin о критических уязвимостях в Windows, которые позволяют выполнить удаленно любой код на машине!
Чуть больше месяца назад был фикс для критической дыры в IE MS08-078. А вчера опубликовали MS09-002 и MS09-004. Первый - про дыру в Internet Explorer, второй - в Microsoft SQL Server. Тип ошибок самый плохой - возможность удаленного выполнения любого кода, то есть, вам даже ничего запускать не надо - зашёл на сайт и уже заражён. Причем для ошибки в Microsoft SQL Server уже опубликован хакерами пример кода эксплойта!

Радует только то, что если вы не используете эти “продукты”, то вы так не заразитесь. Не радует то, что, судя по моей статистике посетителей этого сайта, до сих пор около 20% используют IE, хотя вроде бы не домохозяйки меня читают, а люди, разбирающиеся в компьютерах и в том, что нужно использовать, а что нет. В общем, повторю в сотый раз - забудьте по IE.
Я слежу за статистикой посетителей моего ЖЖ. И вижу, что процент пользователей IE падает с каждым месяцем! 4 месяца назад было около 40% посетителей с IE, а сейчас уже всего 25%. Прогресс налицо, надеюсь из-за того, что кто-то прислушался к моим советам :).

Ну да ладно, не в этом суть. Если у вас отключены автоапдейты и вы всё еще пользуетесь IE или MS SQL Server - срочно скачайте эти 2 апдейта вручную с сайта MS и установите.
Как пишут наши аналитики, уязвимости очень серьезные и скоро стоит ждать новых червей, наподобии Downadup (Kido, Conficker), которые будут использовать уже эти новые дыры. И опять заразят несколько миллионов компьютеров, в основном в России, Китае и Бразилии.

А в безопасности ли вы, если не используете IE и Microsoft SQL Server?
Опыт, полученный из анализа распространения Downadup, говорит, что нет. Если вы подключены к сети, то достаточно одного зараженного компьютера в сети, чтобы заразить всю сеть - кого-то через другие сетевые дыры, кого-то по глупости из-за слабого пароля, а кого-то через флешку.


Поможет ли антивирус от такого рода червей и вирусов?
Скорее всего нет! Zero day вирусы (те, которые только-только появились и еще не проанализированы в антивирусных компаниях) не каждый антивирус сможет отловить и, даже если он его отловит, то не факт, что он его корректно сразу заблокирует. Если у вас кроме антивируса еще установлен файрвол и проактивная антивирусная защита, то шансы обнаружить вирус выше, но все равно вы уже будете заражены в момент обнаружения.
А раз он его не смог заблокировать, то вирус уже в системе и антивирус после получения апдейта баз должен уметь не только защищать от повторного заражения, но и уметь вычистить уже зараженную машину. А вирусы сейчас умные - прячутся и не позволяют себя удалить всеми возможными способами.
Так что такого рода вирусы - это головная боль не только для пользователей, но и для разработчиков антивирусов тоже.

 Понравилась статья? Подпишись на RSS!

33 комментариев к Ждём новой эпидемии?

  • та в лисе и сафари тоже хватает уязвимостей, если их не обновлять.

    • В лисе по умолчанию автоапдейты включены и 99% пользователей наверняка их не отключают. Так что цикл “нашел-исправил-установил всем” очень короткий. Не понимаю, почему в IE этого нет.

  • Di

    Вот и здорово. Интересно как давно эти дыры вообще были найдены…. А вообще классная тенденция, больше половины дыр найденых в 2008 году не залатано, а с учетом того, что большинство крупных компаний, особенно Microsoft любят умалчивать о уязвимости до выпуска патча…. О дырявости нашего ПО можем только догадываться…

    • все гораздо хуже. Погуглите sockstress. А то, что компании, разрабатывающие закрытое ПО, умалчивают об уязвимости до выпуска патча совершенно правильно. Security researchers которые их обнаруживают в таком случае публикуют краткий бюллетень, в котором указывают например HP OpenView Network Node Manager версии такие-то, ошибка переполнения буффера. Детали умалчиваются пока не выйдут патчи от вендора, а потом делается редакция адвизори с указанием патчей, которые исправляют ошибку. Таким образом для конечных пользователей продукта снижается риск того, что злоумышленник воспользуется уязвимостью на незащищенной системе

      • sockstress - это не совсем юзерская проблема - это проблема серверов в основном. К тому же не совсем понятно, насколько это всё серьезно.

        А то, что компании, разрабатывающие закрытое ПО, умалчивают об уязвимости до выпуска патча совершенно правильно.

        Абсолютно согласен. Уверен, MS знает про старые дырки, про которые никто кроме них пока не знает. И если это все опубликовать…

        • Di

          С точки зрения безопасности это оправдано, согласен, с другой стороны конечные пользователи не получают правдивой информации. Но тут палка о двух концах.

          >>Уверен, MS знает про старые дырки, про которые никто кроме них пока не знает. И если это все опубликовать…

          Вот когда о таких дырках узнает кто еще появляются вот такие посты в блогах.

          • С точки зрения безопасности это оправдано, согласен, с другой стороны конечные пользователи не получают правдивой информации. Но тут палка о двух концах.

            Да ладно, все знают правдивую информацию и ее никто не скрывает - дыры в Windows есть и будут. Вопрос только в том, кто раньше дыру найдет - MS, независимые исследователи или хакеры.

        • та куда же серьезнее - парой пакетов задосить любую машину, до которой дотянешься

  • kdv

    Проблема в том, что некоторые горе-дизайнеры до сих пор ориентируются на IE.

  • Ну, те, кто ещё пользуется антивирусами, сами достойны той участи, которую из-за своего невежества и выбрали.

  • Для интереса посмотрел: у меня Vista, KB960714, закрывающий первую из упомянутых “дырок” установлен в автоматическом режиме 21.12.2008. Второй - KB961260 - 10.02.2009. Ничего вручную скачивать при этом не надо.

    Сделали патч и опубликовали официальное инфо о уязвимости - все по правилам.

    PS. Подпорчу статистику :-) - у меня IE (вообще в рунете 50% - это IE)

    • Если Windows update включен - бояться нечего. Все скачивается само и быстро. У меня тоже вчера скачалось и установилось :)
      А про IE - ситуация меняется. Было 90% несколько лет назад.

  • Артем

    Добрый день, коллеги…
    …у меня тоже IE и тоже все прикрыто автоматическими обновлениями…
    …по поводу SQL - на всех наших серверах с декабря 2008 стоит уже SP3, который озвученным уязвимостям не подвержен… посему, выпущенные во вторник обновления не пригодились…
    …все по плану, никакой паники :)

  • “А нам всё равно, а нам всё равно…”

  • Картинки у тебя как размещать?
    Золотой Лис - http://insie-ru.livejournal.com/572209.html

  • Ник

    слушай, ты про этот Downadup почти каждый день пишешь, у меня уже изжога и сон нарушился. Может, чуть пореже, а? :-)

  • dmodeus

    а песочницы для браузеров помогают? (http://www.sandboxie.com) или вирусы особо живучи и все равно найдут как заэксплойтить IE? До недавнего времени я считал их отличной защитой от злонамеренного кода, но вот сейчас уже и засомневался :)

    • Не могу сказать точно, т.к. не знаю, как они работают.
      Но, имхо, если дыра позволяет запустить любой код с любыми правами, то песочница не поможет.
      Хотя говорю - я не знаю, как они работают.

Ответить

 

 

 

Вы можете использовать эти HTML тэги

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>