Microsoft Открыла счёт бюллетеням по безопасности в наступившем году, выпустив сразу 3 бюллетеня с кодами MS04-001, MS04-002, MS04-003 (благоразумно оставив для номера узявимости в текущем году 3 знака ;)). Бюллетени посвящены описаниям уязвимостей в протоколе организации видеоконференц-связи H.323, пакете Exchange Server 2003, а также компоненте Microsoft Data Access (MDAC). Первая уязвимость получила рейтинг критической важности и требует немедленной установки патча. Проблема, как уже упоминалось, связана с протоколом H.323, который используется в сервисах передачи аудио и видео через интернет (VoIP). Для организации атаки злоумышленнику достаточно отправить сформированный определенным образом H.323-пакет, провоцирующий ошибку переполнения буфера. После этого на удаленной машине можно выполнить произвольный программный код. Дыра актуальна для приложений Microsoft Internet Security, Acceleration Server 2000, Microsoft Small Business Server 2000 и Microsoft Small Business Server 2003. Бюллетень MS04-002 описывает уязвимость в Microsoft Exchange Server 2003 и теоретически позволяет изменить привилегии доступа к чужим почтовым ящикам. Ошибка охарактеризована как умеренно опасная. Наконец, последняя дыра связана с компонентом MDAC, использующимся при выполнении операций с базами данных в Windows и SQL Server. Хакер может повысить свои права до уровня пользователя, который в данный момент работает с приложениями, эксплуатирующими MDAC. Уязвимость получила рейтинг важной.
MS04-001 - http://www.microsoft.com/technet/treeview/default.asp?...ms04-001.asp
MS04-002 - http://www.microsoft.com/technet/treeview/default.asp?...ms04-002.asp
MS04-003 - http://www.microsoft.com/technet/treeview/default.asp?...ms04-003.asp