http://www.bugtraq.ru/review/archive/2002/13-12-02.html

Датчане собираются забомбить сайт Евросоюза; MS купит Borland? И еще пара патчей от MS; Исправление уязвимости WM_TIMER; Kaspersky Anti-Spam.

#126, 13.12.2002

Датчане собираются забомбить сайт Евросоюза
dl // 13.12.02 06:08
Смысл этой акции, которую сегодня планирует начать датская антиглобалистская организация Global Roots, заключается в том, что 10 тысяч добровольцев дружно запустят программу WebScript, которая будет пытаться перегрузить сайт Евросоюза ложными запросами. Смысл этой акции не очень понятен. Помнится, серверы Олимпийских игр спокойно выдерживали на пару порядков большее число обращений. Да и, собственно, если этот самый сайт Евросоюза и полежит пару дней - ну кто это заметит? :) Правда, есть подозрение, что одних любопытных, желающих посмотреть, как продвигается акция, случится в несколько раз больше, чем ее участников :))
Источник: Компьюлента, Сайт Евросоюза

MS купит Borland?
dl // 13.12.02 05:57
Слухи, слухи, слухи. Началось с того, что в прошлую пятницу была объявлено о согласии IBM прикупить себе Rational (производитель известного продукта для проектирования и моделирования систем Rational Rose) за пару миллиардов долларов. В среду пошли слухи о том, что Microsoft была бы в принципе не против прикупить Rational сама, ежели у IBM с этим не сложится, но в качестве замены вполне готова рассмотреть вариант с покупкой Borland (!).

Честно говоря, все это выглядит не слишком правдоподобно - собственно "моделирующая" составляющая у Борланда выглядит слабоватой заменой продуктов Rational, с другой стороны, с чего бы MS вешать на себя груз в виде линейки конкурирующих продуктов. Разве что переписать Офис на Дельфи и перенести его с помощью Kylix под Linux? :)
Источник: Reuters

И еще пара патчей от MS
dl // 13.12.02 05:15
Первый включает в себя восемь исправлений виртуальной ява-машины, каждое из которых борется с тем или иным способом обойти систему безопасности, что-то исполнить на машине клиента, перехватить его действия, просто аварийно завершить броузер и т.п. Нда, в теории система безопасности в Яве просто идеальная. А на практике прошло уже почти 8 лет с начала ее распространения, и по-прежнему все упирается в такую вот реализацию.

Второй патч исправляет ошибку в реализации цифровой подписи SMB-блоков, позволяющую атакующему обмануть систему и заставить ее обойтись без этой самой подписи. Учитывая, что подпись SMB-пакетов была введена только начиная с Windows'2000, плюс по умолчанию отключена, сетей, в которых применение данного патча приведет к заметным результатам, не так уж и много :)
Источник: MS02-069, MS02-070

Исправление уязвимости WM_TIMER
dl // 13.12.02 04:51
В Microsoft все-таки озаботились исправлением части того как бы бага, который обсуждался в конце лета.

Напоминаю суть проблемы. Находим в системе крутящиеся процессы с более высокими правами, чем интерактивный пользователь, которые способны принимать оконные сообщение, и находим там что-нибудь типа поля ввода. Далее заполняем это поле своим кодом, отправив соответствующее сообщение. Но этот код надо еще как-то выполнить, и тут на помощь приходит сообщение WM_TIMER, которое в одном из своих вариантов может приходить с адресом callback-функции. Устанавливаем этот адрес куда-нибудь в район нашего засланного кода и получаем его исполнение с повышенными правами.

Как уже говорилось ранее, в принципе, в системе есть все средства для написания кода, не подверженного этой атаке. Другое дело, что это ж надо еще заставить себя так написать. Видимо, в Microsoft решили не надеяться на сознательность программистов (тем более, что и в родных сервисах, похоже, не все чисто), и решили с этой плюхой побороться. Исправлять всю систему передачи сообщений было бы слишком накладно, а вот работу с WM_TIMER исправили. А заодно от греха поправили и часть системных сервисов.
Источник: Microsoft Security Bulletin

Kaspersky Anti-Spam
dl // 08.12.02 23:44
C 9 декабря начинается продажа Kaspersky Anti-Spam - программного комплекса для защиты от спама, созданного в сотрудничестве с компанией "Ашманов и партнеры". При фильтрации используются:
- интеллектуальное ядро распознавания содержания письма SpamTest, способное самостоятельно определить, спам ли это;
- сигнатурный метод - сравнение с шаблонами из регулярно обновляемой базы;
- анализ формальных признаков письма (способ рассылки, адрес и т.п.);
- черные списки спаммерских smtp.

В результате проверки каждое письмо получает специальную метку, соответствующую определенному уровню его "чистоты" и смысловому содержанию. Обнаруженный спам, в соответствии с правилами обработки и настройками системы, может быть пропущен, удален, отложен, изменен или перенаправлен на другой адрес.

Как известно, хуже спама лишь борьба с ним - если выполняется без ведома пользователя. Использование бесплатного аналога - SpamPal'а в течение последнего месяца позволило мне сильно сократить время, уходившее на разгребание приходящией почты - но я бы по-прежнему не хотел, чтобы решение об отсеве письма за меня принимал кто-то еще. Да и в случае SpamPal предпочитаю не удалять "подозрительные" письма, а складывать их в отдельную папку, которая уже и фильтруется окончательно вручную - что все же гораздо эффективнее полностью ручного отсева.
Источник: Лаборатория Касперского