2003-12-02 03:55:41

Специалисты Microsoft вовсю трудятся над созданием второго пакета обновлений для операционной системы Windows XP. В конце 2003 года, как предполагалось ранее, он не выйдет.
Его релиз был перенесен на середину 2004 года. Причину задержки в Microsoft не называют. Весьма вероятно, что она связана с реализацией новых мер по обеспечению безопасности компьютера. Подробности о возможностях второго сервис-пака появились в библиотеке MSDN.

В документе сообщается, что одной из главных целей разработчиков второго сервис-пака является обеспечение максимальной безопасности компьютеров даже в том случае, когда невозможна установка последних патчей и обновлений. Работы ведутся по четырем основным направлениям: безопасность при работе в сети, безопасность памяти, безопасность при работе с электронной почтой и вебом. Наибольшее внимание уделяется первым двум пунктам.

Для обеспечения безопасности компьютера при работе в сети Microsoft намеревается усовершенствовать встроенный в Windows XP брандмауэр, несколько изменить работу DCOM и ограничить доступ к функции удаленного вызова процедур (RPC). Именно с DCOM и RPC связаны наиболее серьезные дыры, обнаруженные в Windows в нынешнем году. В частности, в Microsoft планируют запретить (за редкими исключениями) анонимное обращение к интерфейсам RPC. В случае DCOM будут реализованы более строгие ограничения доступа и более гибкие средства управления данной службой.

Что касается брандмауэра, то в Microsoft намерены сделать его активным по умолчанию. Кроме того, он будет активироваться на более раннем этапе загрузки операционной системы. В новой версии брандмауэра появится возможность создания списков доверенных приложений, которым можно открывать порты на прослушивание. По окончании работы программы порты будут автоматически закрываться. Кроме того, брандмауэр станет совместим с программами и службами, использующими удаленный вызов процедур (RPC), тогда как раньше для работы с RPC брандмауэр приходилось отключать. Наконец, специальный защищенный режим позволит устанавливать временную блокировку уязвимых для атак портов до установки снимающего уязвимость обновления.

Повышение безопасности памяти должно затруднить хакерам использование в своих целях ошибок переполнения буфера. Как правило, для использования дыр злоумышленник вызывает функцию, приводя в качестве аргумента чрезмерно длинное значение, содержащее опасный код. При переполнении буфера атакуемое приложение зависает, а опасный код выполняется. Чтобы не допустить этого, Microsoft намерена активнее использовать технологию защиты от выполнения (no execution или NX). Эта технология позволяет помечать участки памяти (например, те же программные буферы), код из которых не подлежит выполнению.

Поддержка NX уже имеется в Windows XP, но пока она работает только с процессорами семейств AMD K8 (Opteron и Athlon 64) и Intel Itanium. В будущем поддержка NX должна появиться и в других процессорах, что положительно скажется на безопасности. В качестве дополнительной меры в Microsoft планируют перекомпилировать часть системных библиотек Windows с помощью новой версии компилятора, позволяющего минимизировать число уязвимых буферов.

Для повышения безопасности при работе с почтой и вебом Microsoft внесет новые усовершенствования в браузер Internet Explorer и почтовый клиент Outlook Express. В последнем будут приняты более надежные настройки по умолчанию и новая система управления вложенными файлами, чтобы блокировать работу вирусов и червей. Аналогичные изменения будут реализованы и в программе Windows Messenger. Для защиты Internet Explorer будет закрыта для доступа извне зона безопасности "Локальный компьютер", и усовершенствован механизм контроля пользователя за модулями ActiveX.

КомпьюЛента