Microsoft заботится о безопасности ActiveX

Корпорация Microsoft выпустила два новых руководства для разработчиков. Они посвящены проблемам обеспечения безопасности компонентов ActiveX. Компоненты ActiveX позволяют владельцам веб-сайтов осуществлять запуск программных модулей на клиентских компьютерах. Однако помимо полезных задач, с помощью ActiveX свои задачи могут решать и хакеры. Ситуация усугубляется тем, что многие разработчики допускают в своих компонентах ActiveX схожие ошибки, крайне отрицательно сказывающиеся на безопасности. Чтобы помочь программистам избегать подобных ошибок Microsoft и выпустила два новых онлайновых руководства. В первом из них обсуждаются способы создания безопасных модулей ActiveX, а второй посвящен применению технологии SiteLock, позволяющей повысить безопасность ActiveX.

Дыра в новейшем интернет-пейджере Microsoft

23 июля 2003 года, 09:30  [прямая ссылка]
Текст: Иван Карташев

На сайте Help Net Security появилась информация о дыре в новом интернет-пейджере MSN Messenger 6, недавно выпущенном Microsoft. Дыра была найдена энтузиастом по имени Баа Наамне, который рассказал о ней на довольно корявом английском языке. Суть уязвимости сводится к ошибке в коде, ответственном за отправку собеседнику картинок. Возникает она из-за того, что программа генерирует миниатюрную версию изображения и отправляет ее собеседнику еще до того, как тот согласится принять файл.

Если после этого отправить неполный файл с картинкой, то при попытке перерисовать маленькую версию картинки произойдет переполнение буфера, а сама программа "упадет". К счастью, дыра имеется только в предварительных билдах программы. В окончательной версии MSN Messenger 6 с номером билда 602 ошибка исправлена, и всем пользователям бета-версий рекомендуется обновить программу.