Microsoft залатала очередные дыры в своих продуктах

9/06/2004 11:57

Корпорация Microsoft выпустила новые бюллетени безопасности, описывающие дыры в программных интерфейсах DirectХ, а также модулях генерации отчетов Crystal Reports и Crystal Enterprise разработки фирмы Business Objects. Первая уязвимость связана с компонентом IDirectPlay4, отвечающим за поддержку многопользовательских сетевых игр. Для реализации атаки злоумышленнику необходимо направить компьютеру-жертве составленный определенным образом пакет данных. При обработке такого запроса приложением, использующим IDirectPlay4, возникает сбой, и хакер получает возможность провести DoS-атаку. Уязвимость содержится практически во всех версиях DirectХ, тем не менее, софтверный гигант присвоил ошибке рейтинг умеренной опасности. Патчи выпущены для операционных систем Windows 2000, ХР (32- и 64-битные версии) и Server 2003 (32- и 64-битные версии). Второй бюллетень безопасности, MS04-017, как уже отмечалось, закрывает дыры в модулях автоматической генерации отчетов Crystal Reports и Crystal Enterprise, входящих в состав Visual Studio.NET, Outlook 2003 (с установленным Business Contact Manager) и Microsoft Business Solutions CRM 1.2. В случае удачного проведения атаки злоумышленник через веб-интерфейс Crystal Reports или Crystal Enterprise может просматривать и удалять файлы, хранящиеся на жестком диске уязвимой машины. Опасность ошибки также охарактеризована как умеренная.
MS04-016
MS04-017