Kritikus biztonsági hiba a Windows ME-ben

A szoftveróriás Microsoft egy olyan biztonsági rést fedett fel a Windows Millennium Edition-ben (Me), amely védtelenné teheti az operációs rendszert futtató számítógépeket a külső támadókkal szemben.

A társaság weboldalán megjelent közlemény szerint a már jólismert puffer túlcsordulás (buffer overflow) problémára alapuló biztonsági rés lehetővé teszi az esetleges támadók számára, hogy bármilyen kódot lefuttassanak a Windows Me felhasználó számítógépén, így gyakorlatilag bármit megtehessenek a rendszerrel, amit a felhasználó is megtehetne.

A hibát kiküszöbölő javítófolt már elérhető a Microsoft weboldaláról.

A szoftveróriás valamivel több, mint egy éve indította el Megbízható Számítástechnika (Thrustworthy Computing) elnevezésű programját, amelynek célja, hogy a társaság szoftvereit a lehető legbiztonságosabbá, illetve megbízhatóbbá tegye. A Microsoft számára is nyilvánvaló azonban, hogy a program sikeréig még rengeteg munkára van szükség.

A puffer túlcsordulási hiba a Windows Me Help and Support Center (Súgó és Támogatás) rendszerében található, amely lehetővé teszi, hogy a felhasználók a hcp:// előtaggal nyissanak meg webes linkeket a http:// helyett. A hcp:// előtaggal megnyitott, rosszindulatú weboldalak ezután puffer túlcsordulást okozhatnak, és a rendszer összeomlását idézhetik elő, illetve tetszőleges kód futtatására is lehetőség nyílik.

A hamis linkek a Microsoft szerint e-mailben is érkezhetnek, vagy akár egy weboldalon is lehetnek. E-mailbe foglalva az is előfordulhat, hogy a rendszer automatikusan megnyitja a rosszindulatú linket. Ezen utóbbi probléma veszélye az Outlook Express, Outlook 2002, illetve biztonsági javítással ellátott Outlook 98 és 2000 e-mail kliensek esetében azonban nem áll fenn.