Testovi za bezbednost upravljačkih programa su loši
11. Jun 2003.
Engleska kompanija Next Generation Security Software objavila je da su Microsoftovi testovi za bezbednost upravljačkih programa loši, navodeći kao primer dva zvanično odobrena upravljačka programa za mrežne kartice u kojima postoje poznati bezbednosni propusti.
Zbog toga što se mnogi programi ne brišu ispravno sadržaj memorije pre upotrebe, podaci prethodnih programa često ostaju u neiskorišćenom delu memorije. Ovaj problem postaje veoma značajan prilikom razmene na mreži, zato što se protokolom TCP/IP uvek šalju blokovi podataka fiksne veličine - pa se u neiskorišćenom delu paketa često nalaze informacije koje su koristili drugi programi ili operativni sistem. Iako je verovatnoća da se u tom delu nađu poverljivi podataci mala, kompanija @stake prikazala je kako se na taj način dolazi do lozinki operativnog sistema Windows tokom duže veze.
Kompanija NGSSoftware otkrila je ovaj propust u sistemskim programima Windowsa 2003 za kartice Rhine II i PCNet. U izveštaju upozoravaju da problem možda postoji i u upravljačkim programima za kartice drugih proizvođača. Ovo nisu Microsoftovi programi, već softver nezavisnih proizvođača, ali ih je Microsoft zvanično odobrio i distribuiraju se u okviru Windowsa 2003. Pomenuti propust je otkrila kompanija @stake (www.atstake.com) pre više od godinu dana.
Tweet
Engleska kompanija Next Generation Security Software objavila je da su Microsoftovi testovi za bezbednost upravljačkih programa loši, navodeći kao primer dva zvanično odobrena upravljačka programa za mrežne kartice u kojima postoje poznati bezbednosni propusti.
Zbog toga što se mnogi programi ne brišu ispravno sadržaj memorije pre upotrebe, podaci prethodnih programa često ostaju u neiskorišćenom delu memorije. Ovaj problem postaje veoma značajan prilikom razmene na mreži, zato što se protokolom TCP/IP uvek šalju blokovi podataka fiksne veličine - pa se u neiskorišćenom delu paketa često nalaze informacije koje su koristili drugi programi ili operativni sistem. Iako je verovatnoća da se u tom delu nađu poverljivi podataci mala, kompanija @stake prikazala je kako se na taj način dolazi do lozinki operativnog sistema Windows tokom duže veze.
Kompanija NGSSoftware otkrila je ovaj propust u sistemskim programima Windowsa 2003 za kartice Rhine II i PCNet. U izveštaju upozoravaju da problem možda postoji i u upravljačkim programima za kartice drugih proizvođača. Ovo nisu Microsoftovi programi, već softver nezavisnih proizvođača, ali ih je Microsoft zvanično odobrio i distribuiraju se u okviru Windowsa 2003. Pomenuti propust je otkrila kompanija @stake (www.atstake.com) pre više od godinu dana.
Tweet
