И еще одна 0-day уязвимость в продукте Microsoft

И еще одна 0-day уязвимость в продукте Microsoft

Практически сразу после появления сообщений об открытом изъяне в Internet Explorer корпорация признала факт существования еще одной ошибки безопасности, относящейся к типу 0-day. На этот раз уязвимым оказался FTP-компонент программного комплекса Internet Information Services (IIS).

По поводу этой проблемы руководитель группы Trustworthy Computing Дэйв Форстром заявил, что расследование инцидента уже ведется, и необходимое исправление будет вскоре доступно. Представитель Microsoft не исключил даже возможности внеочередного выпуска патча для рассматриваемого изъяна. Сообщается, что для этой уязвимости уже существует образец эксплойта, представленный специалистом Мэтью Берджином; работоспособность атакующего кода проверялась на полностью обновленном IIS версии 7.5 для Windows 7 Professional.

Что касается собственно ошибки безопасности, то она создает угрозу отказа в обслуживании. Ранее появлялась информация и о возможном риске удаленного исполнения кода, однако после предварительного изучения проблемы Microsoft заявила, что данный риск маловероятен. Уязвимость существует в механизме взаимодействия FTP-компонента IIS со службой Telnet; ошибка происходит в том случае, если сервер FTP пытается осуществить кодирование символов Telnet IAC (Interpret As Command, "интерпретировать как команду") при отправке ответа на внешний запрос.

В блоге Security Research & Defense особо отмечается, что злоумышленник может вызвать отказ в обслуживании только самого FTP-компонента; все прочие службы IIS будут работать нормально. Кроме того, не все пользователи продукта подвержены рассматриваемой угрозе: при установке IIS этот компонент нужно сознательно выбирать (по умолчанию он недоступен), а по завершении инсталляции еще и отдельно включать в панели управления.

Тем не менее, Secunia уже присвоила данной уязвимости критический статус.

The Tech Herald

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ИИ тоже может ошибаться: чат-бот застрял на президентстве Байдена

Компания Meta (в России признана экстремистской и запрещена) в приоритетном порядке фиксит баг своего чат-бота на основе ИИ. В ответ на просьбу назвать президента США умный собеседник по-прежнему выдает имя «Джо Байден».

Инаугурация Трампа в качестве нового главы государства состоялась в минувший понедельник, полученную информацию о заблуждении ИИ-бота в Reuters проверили в четверг.

«Президентом США в настоящее время является Джо Байден, — цитирует репортер полученный ответ. — Однако, по последним данным, 20 января к присяге Президента был приведен Дональд Трамп».

Конфуз вынудил Meta внепланово запустить на сервисах процедуру поиска и решения настоятельных проблем. В ответ на запрос о комментарии представитель компании заявил:

«Президентом США является Дональд Трамп, это всем известно. Системы на основе генеративного ИИ иногда выдают устаревшие результаты, мы продолжим работу по улучшению функциональности».

Возвращение Трампа в Белый дом доставило Meta много хлопот. Пришлось заменить директора по глобальным контактам компании — им был назначен республиканец Джоэл Каплан (Joel Kaplan). В совет директоров был введен приятель новоиспеченного президента.

Процедура смены владельцев аккаунтов Белого дома в соцсетях засбоила, читателей пришлось персонально просить вернуться к Дональду и Мелании Трамп. В довершение всех бед Instagram начал блокировать поиск по тегам #Democrat и #Democrats, явно отдавая предпочтение #Republican.

Напомним, после инаугурации Трамп осуществил давнюю мечту своих друзей-либертарианцев: помиловал Росса Ульбрихта (Ross William Ulbricht), обреченного на пожизненное заключение за создание теневого маркетплейса Silk Road. Оператор даркнет-площадки с оборотом в $200 млн провел за решеткой около 10 лет и уже перестал надеяться на смягчение приговора.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru