LINUX.ORG.RU

Множественные уязвимости в Linux

 ,


2

4

В ядре Linux были обнаружены множественные уязвимости, которые могут привести к атаке типа «отказ в обслуживании»:

  • CVE-2014-3610

    Ларс Булл из Google и Надав Амит сообщили об уязвимости при обработке KVM неканоничных операций записи в некоторые регистры MSR. Привилегированный пользователь гостевой системы может ею воспользоваться для вызова отказа в обслуживания (паники ядра) на хост-системе.

  • CVE-2014-3611

    Lars Bull of Google reported a race condition in in the PIT emulation code in KVM. A local guest user with access to PIT i/o ports could exploit this flaw to cause a denial of service (crash) on the host.

  • CVE-2014-3645 / CVE-2014-3646

    The Advanced Threat Research team at Intel Security discovered that the KVM subsystem did not handle the VM exits gracefully for the invept (Invalidate Translations Derived from EPT) and invvpid (Invalidate Translations Based on VPID) instructions. On hosts with an Intel processor and invept/invppid VM exit support, an unprivileged guest user could use these instructions to crash the guest.

  • CVE-2014-3647

    Nadav Amit reported that KVM mishandles noncanonical addresses when emulating instructions that change rip, potentially causing a failed VM-entry. A guest user with access to I/O or the MMIO can use this flaw to cause a denial of service (system crash) of the guest.

  • CVE-2014-3673

    Liu Wei of Red Hat discovered a flaw in net/core/skbuff.c leading to a kernel panic when receiving malformed ASCONF chunks. A remote attacker could use this flaw to crash the system.

  • CVE-2014-3687

    A flaw in the sctp stack was discovered leading to a kernel panic when receiving duplicate ASCONF chunks. A remote attacker could use this flaw to crash the system.

  • CVE-2014-3688

    It was found that the sctp stack is prone to a remotely triggerable memory pressure issue caused by excessive queueing. A remote attacker could use this flaw to cause denial-of-service conditions on the system.

  • CVE-2014-3690

    Andy Lutomirski discovered that incorrect register handling in KVM may lead to denial of service.

  • CVE-2014-7207

    Several Debian developers reported an issue in the IPv6 networking subsystem. A local user with access to tun or macvtap devices, or a virtual machine connected to such a device, can cause a denial of service (system crash).

>>> Подробности

Deleted

Проверено: mono ()
Последнее исправление: shimon (всего исправлений: 4)

Ответ на: комментарий от xtraeft

Так mysql.com русский и поломал.

Его уже нашли о посадили?
Если нет то значит вина недоказана - это просто сплетни cnetовских школьников.

n0mad ★★★
()
Ответ на: комментарий от n0mad

Его уже нашли о посадили?
Если нет то значит вина недоказана - это просто сплетни cnetовских школьников.

Он продавал доступ к mysql.com - и это не сплетни, а факт.

xtraeft ★★☆☆
()
Ответ на: комментарий от anc

Какая-то у тебя каша в голове, фанатик.
12 лет назад это был конец 2002 года. XP вышел 2001 году.
Нормальные права в ФС уже были в NT (1993). Потом был 2000 (видел и щупал у знакомых). Когда у меня появился личный комп я уже сидел на XP (где-то как раз ~2002 год). Вот в первые годы пользования собственной пеки я однажды схватил вирусню которая заражала EXE файлы. Я этот случай надолго запомнил.
Ну да, никак не больше ~12 лет.
А на DOS/3.11, 95/98/ME винде я вирусов не видел, но у нас и интернета не было тогда.

EvilFox ★★
()
Ответ на: комментарий от EvilFox

xp-то вышел, да без sp. И был дюже глючным. Переходить на него с 2k начали спустя несколько лет, где-то ближе к sp2. В большинстве случаев файловая тогда была - fat (ntfs, данные, бывало, портил, а средства восстановления - ndd, diskeditor были только под fat). Да что там говорить, если до сих пор для ремонта ntfs лучшее средство - chkdsk. Подавляющее большинство софта не работало без админских прав. Майкрософтвское в первую очередь. Стороннее тоже практически все. Ситуация по этой части поменялась всего несколько лет назад.
С путями распространения заразы было все в порядке - флопики, cd, флешки, при досе были резиденты и бут сектора.
О какой безопасности можно говорить - одна только моя личная коллекция собранной заразы была не меньше пары сотен мегабайт.

handbrake ★★★
()
Последнее исправление: handbrake (всего исправлений: 1)
Ответ на: комментарий от handbrake

В большинстве случаев файловая тогда была - fat (ntfs, данные, бывало, портил

неправда ntfs как раз вполне нормально работала, а вот те «не знаю как их назвать» кто ставил nt на fat ссзб. Вот чем можно было испортить ntfs, так это нативными дровами на rw, были для dos. Да и в ядре linux, но там dangerous, собственно так я и убил первый раз ntfs :) А штатными средствами, неее, не помню ( серверов немало было, да рабочих станций тоже хватало).

anc ★★★★★
()
Ответ на: комментарий от handbrake

У меня ntfs ни разу не ломалась, а вот харды физически умирали не раз.

696 results

Там же включая переводы на разные языки и ещё кучка зацепленного для NT (даже не 2000) и не по теме.

EvilFox ★★
()
Ответ на: комментарий от anc

Я проглядел извинение, сразу машинально ответил. Без обид.

EvilFox ★★
()
Ответ на: комментарий от xtraeft

Он продавал доступ к mysql.com - и это не сплетни, а факт.

Вот именно что продавал а не ломал.

n0mad ★★★
()
Ответ на: комментарий от handbrake

В большинстве случаев файловая тогда была - fat

Есть статистика? Так делали в основном ССЗБ и потом ныли на форумах «а чего это файлик больше 4 гигов не записывается(((» или те кому нужна была связь с линуксом.

Подавляющее большинство софта не работало без админских прав

Как правило это касалось установщиков и это и сейчас не редкость (особенно грешит СПО).
Дальше упиралось в запись в директорию где стоит программа, вот и все админские права которые были нужны большинству программ. Т.е. достаточно было выделить директорию с возможностью записи в неё и всё на этом заканчивалось.
Но да, я сидел тогда через админа, ибо из под пользователя слишком для меня неудобно было, да и я тогда ещё мало чего вообще понимал в безопасности ОС. В принципе можно довольно безопасно сидеть из под админа если снять с него опасные права и закрыть у него заход из под СИСТЕМЫ (аналог root), права которой позволят вернуть ему себе эти права.

Честно говоря меня раздражет общий тупой подход в безопасности винды (хотя в линуксе ещё хуже как по мне, надо правда будет попробовать SELinux), вот есть права (как роли) для пользователя из коробки, почему не сделать при запуске какие права разрешаем, а какие запрещаем приложению?
Да это можно сделать через те же «назначение прав пользователю»), но винда прямо откажет приложению и оно скорее всего пошлёт ошибкой при запуске, ну почему это было не сделать подменой пустых данных? Ну как возможность такая (понятное дело иногда нужно и явный отказ дать, а не псеводанные).
Почему они сделали это для метрохерни, а для классических нет? Ведь у них есть виртуализация встроенная и для ФС и для реестра.
Эх, а ведь там можно очень круто развернуться. Можно делать права не для пользователей, а для определённых приложений. Они правда я видел в эту сторону всё же делали, у них там есть объекты и службы (они как пользователи), но это всё слишком глубоко от пользователя зарыто. Может в ReactOS получится это сделать.

EvilFox ★★
()
Ответ на: комментарий от EvilFox

Ребят, если вы чего-то не видели, это означает только то, что вы этого не видели. Не более того. Если не хотите верить, что ntfs.sys неоднократно обновлялся - как хотите.
Только за последний, год я наблюдал минимум два фатальных разрушения ntfs, с самозацикленными ссылками каталогов, с папками указывающими на файлы и наоборот и хер еще знает что. С кашей вместо данных. На брендовом (intel/непомню) абсолютно живом железе (с ECC памятью и живыми дисками - несколько суток нагрузочного тестирования всего железа в режиме «на убой» - не выявило проблем). Один раз причина - питание, второй - неизвестно, вообще на ровном месте, сервак начал мусор отдавать, после перезагрузки - бесконечный чекдиск. Видимо, протекла память драйвера ntfs, бывает, все писанное на сях так может. Word тоже можно несколькими фразами убить, наблюдал десятки раз или вы и этого не видели ?

handbrake ★★★
()
Ответ на: комментарий от EvilFox

Какая статистика ? Сыпался фат, сыпался-чинился, хорошо и часто, иногда с потерями. После конвертации в ntfs, на каком-то этапе стало лучше, да. Когда фат пользовали, 4ГБ файлы были еще неактуальны.
Кстати и сейчас проблема с кривыми правами актуальна - adobe cs6 (кажись шестой, не помню точно) x64 - попробуй _попользовать_ без админских прав или отключенного UAC. Речь о лицензии, естественно - работать невозможно.
Есть в виндах контексты безопасности, с какими-то маркерами, с тем, что потомок процесса получает контекст с меньшими правами, с запутыванием адресов - не помню как там это все называется. Херь это все лажовая, с поголда, как, емнип, нашли какую-то глобальную дыру во всей этой хне, и там эскалация привелегий до самого дна шла и это не лечилось, там бай дизайн что-то было. Не помню, врать не буду, и это не очень широко освещали.
Да и смысл в такой защите, если вирусня уже в район гипервизоров ушла, не помню, как зараза зовется - по сути бут-вирус, тушку в последних секторах прячет, операционка его не видит, поскольку он под ней, одна из вариаций деньги с р/с еще воровала - каспер с симантеком, еще очень скромно и неохотно подтвердили что они в принципе бессильны перед этим, это тоже все очень тихо и скромно прошло.
Так что не надо этой хери в ректосах - лучше если реактос будет занимать метров 100, его будет хорошо в виртуалках гонять вместо вендов, по инстансу на каждое приложение, потому-то 20ГБ для одной только win7 - это ПЦ, какой оверхед.

handbrake ★★★
()
Последнее исправление: handbrake (всего исправлений: 1)
Ответ на: комментарий от handbrake

Все эти кококо bad design насколько я понял от непонимания как устроена архитектура безопасности в винде (а она местами с особенностями, которые нужно знать чтобы не быть ССЗБ, ибо возможностей выстрелить себе в ногу там достаточно, побольшей части все они от нежелания MS делать что-то более годное чем убогие редакторы политики безопасности не покрывающие всей безопасности — в винде например при желании можно штатными средствами разграничивать права на устройства, но всё это делается через одно «низкоуровневое место»).
Но конечно это не отменяет косяков тех кто ранее отвечал за UI, на пустом месте ломая всю архитектуру безопасности. Ну и нет гарантии что всякие дополнительные пристройки к безопасности не имеют дыр из-за неучёта всех случаев или обычных ошибок. Речь например про дырявенький SRP (можно кстати обойтись и без него).

Ссылку хоть приведи на эту глобальную дыру или не было.
Я как-то одну такую громкую страшилку-статью читал, на первый взгляд она убедительная, пока сам не (у)знаешь некоторые вещи. Насколько помню там говорилось что можно, получив handle какого-то элемента окна работающего под более высокими правами, как-то таким образом заполучить эти права. Только вот на деле это окно для более низких рангом пользователей невидимо вообще (хотя при UAC оно для самого пользователя на экран отрисовывается), его нет и поймать элемент нельзя, хотя может быть в старых винда было не так, я не проверял, но поведение очевидное как мне кажется.

Касаемо фотошопа, я как-то столкнулся (вроде — т. к. ты не уточнил подробностей) с этим, там насколько помню всё упиралось в неверной папки для временных файлов по умолчанию. Т. е. достаточно было изменить папку в настройках на правильную и после перезапуска он нормально работал без всяких админских прав, вот так вот.

Вирус-гипервизор это конечно стрёмная штука, но кто ему дал права записаться в сектор? Надо бы кстати выяснить какое право отвечает за это. Наверное «Загрузка и выгрузка драйверов устройств». Вообще надо бы накачать дряни и проверить на деле насколько уязвима голая, но с настроенной безопасностью винда, я пока только по мелочи общие вещи проверял.

На тему размера соглашусь, мне тоже не очень нравится сколько винда весит, но тут или шашечки или ехать, в ней много всего вторичного, которое внезапно может пригодиться, приходится платить за универсальность, впрочем при желании её можно хорошо порезать без последствий, создав себе лёгкий образ с только нужными драйверами, шрифтами, без .net, без распознавания голоса и текста и т. д. и т. п.
Только я тут не понял каким боком огромный размер винды относится к более гибкому разграничению прав? Эта логика жалкие гроши съест, ничего там сверхъественного городить не надо.

EvilFox ★★
()
Ответ на: комментарий от handbrake

Просто не надо слишком преувеличивать.
Ты написал:

About 696 results (0.48 seconds)
Столько kb выпустила MS на тему ntfs corruption

Это явная ложь и я написал почему.
Правильнее было бы написать:

ntfs corruption site:microsoft.com/kb/*/en-us

Да и то там много лишнего захватило если полистать.
Не надо делать такие пустые громкие заявления.

А то что NTFS обновлялся никто не спорит, ему сколько лет уже (к XP ему стукнуло минимум 8 лет), он ещё фичами обрастал насколько помню, ну и отказоустойчивость само собой тоже повышали.

EvilFox ★★
()
Ответ на: комментарий от EvilFox

Ты евангелист от мс чтоль, сайтом не ошибся ?
Какое ехать ? xp весит гиг и в ней нужное ездит. Потом развели winsxs, типа для увеличения совместимости и сломали ее же в куче других мест. Собственно все, приехали. Дальше только маркетинговые шашечки да игры с уи, на который, вот реально - пох. Отчетность/клиент-банк/ватевер - занимают пару сотен метров + гиг операционка. Лежат в частном облаке пачками, с них открывается один единственный ресурс - их собственный. Есть выбор ос - xp, с гигом/диска и памяти, и 7 с 20 гигами+2 памяти, ради запуска одной единственно программы, работающей с одним единственным ресурсом по шифроканалу. И что тут будет шашечками, если xp едет по всем соображениям, включая безопасность ?
Помножь 20 гиг на 100 виртуалок и 2 гига на 100 и получи нефиговую разницу в цене стораджа, обеспечивающего одинаковое время для копирования виртуалок. Ну, и где тут ехать, а где шашечки ?
Патчи, закрывающие RCE, выходят минимум раз в месяц. Какое тут, к лешему, разграничение прав - мертвому припарки делать ?. И не надо дряни никакой качать, эта зараза поселялась просто открытием «специально подготовленной html страницы», если тупо, то пользователь без админских прав, в ie > v7 открывал бухгалтерский форум, в которой через баннерообменник дроппер пропихнули, (недавно было kb на эту тему, уязвимы все версии вендов >xp, кажись и эскалация опять до упора). Тупо открыли страницу - словили заразу. Уразграничивайся, толку-то. Какие громкие заявления ? - это все обыденность и почему собственно не надо, громкое заявление, имхо, это то, что ntfs - не сыпется, убери из запроса ms и получи 386 000 результатов, как она «не сыпется». Подавай в суд на гугл, я тут причем. Нравится тебе мс, покупай-пользуйся на здоровье, тут-то ты чего забыл ?

handbrake ★★★
()
Ответ на: комментарий от handbrake

Сколько бугурта в одном посте.

anonymous
()
Ответ на: комментарий от Kompilainenn

Сам скопировать не можешь? Языки учить религия не позволяет?

spec_po_kiskam ★★★
()
Ответ на: комментарий от handbrake

Много у тебя серверов/рабочих станций было, да.

Нуу вобще-то говоря при учете, что скада мосводоканала работала на nt, а это большое кол-во объектов от водозабора до очистки сточных вод, то таки да, весьма достаточно.

anc ★★★★★
()
Ответ на: комментарий от handbrake

Я не евангелист (хотя было бы неплохо чтобы мне за это платили — отстоял заслуги винды @ заплатил на год за прыщесервер). С тем же линуксом я знаком где-то с 2004 (как у меня появился проводной инет) и у меня есть сервер на нём (для чего он собственно больше всего пока годится).
Просто не люблю когда начинают сыпать всякой ложью к тому или иному продукту. Там где явная неправда говорится про линукс я тоже заступаюсь за него, хотя это бывает гораздо реже, ибо упоротых фанатиков винды я встречал заметно меньше фанатиков линукса.

Я тебе одно ты мне другое. Возможности XP сильно ниже более совремённых версий. Если надо ограничиться пускалкой приложений, то берём и режем через инструменты создания образа все лишние компоненты и местами руками максимально винду, там очень многое можно выпилить. В сети уже валяются образы занимающие всего 2ГБ (после установки) и там ещё остаётся что порезать. Но конечно не факт что получиться дорезать до размера урезанной XP, это открыто никто не проверял, ибо многим нет смысла резать настолько (я не смог нагуглить).

Потом развели winsxs, типа для увеличения совместимости и сломали ее же в куче других мест

Не так. Он с одной стороны чтобы решить dll hell, а с другой они перешли на компонентную парадигму. Почти если не всё представление папок и файлов в винде это лишь проекция из WinSxS — посмотри через:

fsutil hardlink list %windir%\оставшийся_путь

Даже ntoskrnl.exe это часть компонента живущая на самом деле (по парадигме системы) в WinSxS (хотя в рамках NTFS очевидно нет разницы). На этой же компонентной системе построено хранение обновлений насколько помню.
В последних версиях есть возможность это хранилище очистить от лишнего (помимо обновлений).
Из-за того что всё в папке винды сделано на жёстких ссылках, размер через обычные средства неверно считается.

Совместимость может ломаться разными вещами, начиная от новых подходов к безопасности/правам заканчивая (касаемо игр) новыми драйверами и железяками где что-то выпиливают нужное для старого. Ещё можно вспомнить банальный GlobalMemoryStatus > 2ГБ или отсутствия некоторых ActiveX-расширений (видел одну такую игру, автор явно ССЗБ). Там подобных вещей хватает.
Для многих таких вещей у винды есть Application Compatibility Toolkit — там можно для нужного приложения включить хаки для эмуляции нужного поведения/фунционала. Я так уже 3 игры починил. Там 407 хаков содержится, жаль только документации очень мало.

И не надо дряни никакой качать, эта зараза поселялась просто открытием «специально подготовленной html страницы»

В ИЕ есть очень много настроек безопасности (заметно больше чем например в лисе), многие из них по умолчанию почему-то выключены. Если бы были включены, то многие уязвимости тупо бы не сработали. Это вопрос больше к админам и всё опять упирается в неумение настроить безопасность чтобы даже при эксплоите зловред ничего не смог сделать. Для винды кстати ещё есть EMET, но естественно он по умолчанию не идёт, во многом потому что в неумелых руках может сломать совместимость в угоду жесткой безопасности.
Вообще касаемо этих уязвмостей какой-то дедсад разводишь. В той же лисе уязвмостей не меньше. Она ещё почему-то до сих пор не научилась выделять вкладки в процессы-контейнеры с сильно порезанными правами, хотя хром и ие это давно умеют — поскорее бы в лисе это запили.
Срач на тему обозревателей устраивать не хочу, я сам сижу сразу на нескольких и могу защитить или обосрать любой.

убери из запроса ms и получи 386 000 результатов, как она «не сыпется».

Опять налицо непонимание того как работает поиск и прочих объективных факторов (типа учёта популярности ОС, количества случаев ССЗБ из-за неопытности).

Нравится тебе мс, покупай-пользуйся на здоровье

Всё бы хорошо, но мне не нравится:
1. ценовая политика MS, ОС столько не стоит (хотя я успел подешёвке купить себе и другу с обновления RP, но это ведь разовая акция) и по хорошему чисто пускалка приложений должна быть бесплатной, но до них почему-то не дойдёт что можно продавать отдельный функционал.
2. что они мало делают для конечных пользователей и делают это частенько в каком-то обрезанном виде (тот же metroui можно было сделать действительно крутым и удобным, а они как-то долго рожают, да и то под большой критикой).
3. что ОС закрыта, куча лицензионных ограничений.
Судя по всему они пристроились к кормушке и идеи с технологиями по капли выжимают, пока народ хавает то что есть. Хотя в последнее время они запилили обратную связь:
https://windows.uservoice.com/forums/265757-windows-feature-suggestions
https://wpdev.uservoice.com/forums/266908-command-prompt
https://wpdev.uservoice.com/forums/257854-internet-explorer-platform
Но это надо было сделать гораздо раньше, отношения многих уже испортились. Видимо пока петух не клюнет они не зашевелятся.
Я всё же за ROS (при всех её сложностях, обмане ожиданий и долгострое), а не за Windows, ибо первый в перспективе даст мне больше свобод, а последний конечно крутой, но зависеть от корпорации на другом полушарии как-то не охота. А GNU/Linux для дома мне не катит.

тут-то ты чего забыл ?

Как я уже сказал, у меня есть сервер, надо как минимум следить за безопасность, чтобы не подставить его под удар. Ну и ещё я мониторю новости СПО, т.к. не равнодушен, а opennet.ru мне не нравится из-за обилия поехавших шизиков-фанатиков. Мне кажется что лор по населению внезапно больше соответствует этому адресу чем сам опеннет.

EvilFox ★★
()
Ответ на: комментарий от Kompilainenn

считается, что ниасилить новость на английском для айтишника позор, хотя я наверно живу в прошлом веке

anonymous
()
Ответ на: комментарий от anonymous

считается, что ниасилить новость на английском для айтишника

где ты во мне увидел айтишника?

Kompilainenn ★★★★★
()
Ответ на: комментарий от vinignik

Как раз наоборот, макоюзеры спокойно кликают на всё подряд и открывают что угодно потому что ещё Джобс обещал, что на маке вирусов нет. Достаточно вспомнить малварь под видом антивируса MACDefender или старый добрый iServices в кряке к фш, требующий рутовый пасс чтобы сгенерить ключ к пиратке. Уязвимостей тоже было полно, BackDoor.Flashback к примеру.

anonymous
()
Ответ на: комментарий от beos

Да с радостью (как большой фанат Лэйн и BeOS), если бы дефолтный браузер так не тормозил или были бы альтернативы. Я даже задонатил разок, когда от старого пейпал-аккаунта избавлялся.

anonymous
()
Ответ на: комментарий от beos

А в чём прикол хаику? Что побуждает цепляться за неё и развивать её?
Я беос как-то ковырял и особо преимуществ не заметил. Ну и слышал что её на радио любят использовать.
Хочу ещё спросить, меня очень бесило как сделана панель заголовка — нельзя как-нибудь её сделать нормальной? (чтобы на всё окно было).

EvilFox ★★
()
Ответ на: комментарий от EvilFox

Хм, ну эт на любителя... Ширина и высота таба автоматом регулируется по размеру текста (шрифта). Положение таба относительно окна можно задать вручную (плавно перемещая вправо - влево) для каждого окна.

Также есть stack&tile

http://www.haiku-os.org/docs/userguide/en/gui.html#stack-tile

beos ★★
()
Последнее исправление: beos (всего исправлений: 2)
Ответ на: комментарий от EvilFox

Имел некоторый приятный опыт с BeOS в своё время, поставил из-за http://lain.ru/shots/be_continued.jpg и с тех пор прочные ассоциации. Судя по всему, не у меня одного http://ostatic.com/files/images/Mplayer screenshot 45

Если глобально - то хорошо иметь свободные альтернативы онтопику с другой идеологией и архитектурой, и им необходимо сообщество, чтобы развиваться.

anonymous
()
Ответ на: комментарий от beos

Значит нельзя? (вкладки это хорошо, но можно их делать и с нормальным заголовком) А проект принимает предложения/пожелания? Вообще улучшать дизайн собираетесь или тупое следование/копирование дизайна беос?

EvilFox ★★
()
Ответ на: комментарий от anonymous

Забавно, а я не обратил на это внимание, хотя аниме смотрел и беос ставил ещё до просмотра этого аниме.

Если глобально - то хорошо иметь свободные альтернативы онтопику с другой идеологией и архитектурой, и им необходимо сообщество, чтобы развиваться.

Это-то понятно, но интересовали технические или дизайнерские преимущества.

EvilFox ★★
()
Ответ на: комментарий от EvilFox

Микроядро, годное апи от беос с документацией.

anonymous
()
Ответ на: комментарий от crowbar

уязвимости будут называться так: РЕШЕТО-80-3687

А патчи к уязвимостям так: РЕШЕНО-80-3687

Siado ★★★★★
()
Ответ на: комментарий от ZenitharChampion

Не очень-то логично помогать конкурирующему проекту в поисках уязвимостей

anonymous
()
Ответ на: комментарий от EvilFox

В ИЕ есть очень много настроек безопасности (заметно больше чем например в лисе), многие из них по умолчанию почему-то выключены. Если бы были включены, то многие уязвимости тупо бы не сработали. Это вопрос больше к админам и всё опять упирается в неумение настроить безопасность чтобы даже при эксплоите зловред ничего не смог сделать.

Хм порезать права в ie… к сожалению бывает и наоборот… Торговые, мать их, площадки для работы на которых надо туеву хучу чего разрешить выполнять в ie (все это идет в инструкциях между прочим), а так как сами площадки настолько «правильно» написаны то регулярно там гуляют вири. В результате работой админа становиться регулярная очистка компов пользователей от «зоопарка понаехавших гостей». И в тему локеров в mbr их там же и находят, точнее они сами приползают.

anc ★★★★★
()
Ответ на: комментарий от anc

Тут надо знать ситуацию более подробно, чтобы сказать поточнее.
Можно для всех зон кроме «Надёжные сайты» запретить всё (просто передвинуть ползунок на «Высокий» может быть недостаточно), в самой зоне «Надёжные сайты» разрешить только необходимое. Ну и добавить домены требуемые для работы площадок в эту зону. Тогда как минимум всякое говно которое пытается взаимодействовать с левыми доменами соснёт.
Ещё в групповой политике есть некоторые полезные ограничивающие правила недоступные из настроек самого ИЕ.

Но по хорошему этого конечно же мало. Разумнее помимо этого запускать сам IE из под пользователя с сильно урезанными правами на ФС и реестр, чтобы дальше своего корыта срать (да и читать ему далеко не всё нужно) не мог + не забыть снять права (по типу ролей) у самого пользователя на разные действия в системе (те что помимо ФС и реестра) — например запретив ему завершение работы (это включает в себя перезагрузку и т. п.), ещё к слову можно дать право «Блокировать страницы в памяти» (запрет сбрасывать страницы в файл подкачки — придаст скорости если памяти хватает и + к паранойи в некоторых случаях).
Об очевидных необходимых вещей типа включения запроса пароля для перехода в админа и что в IE должен быть включён 64битный режим вкладок, расширенный защищённый режим и защищённый режим в каждой зоне, наверное упоминать не стоит (не полный список само собой).
И для лучшей защиты стоит всё же поставить EMET, он как раз против множества атак с памятью и не только, только учти, если дашь защиту от ASR на iexplore.exe, то флеш перестанет работать, так что если он нужен эту галку ставить нельзя (с остальными галками всё в порядке).

Если не полениться и один раз это сделать, потом чистить не придётся, хотя некоторым админам наверное нужна ИМИТАЦИЯ БУРНОЙ ДЕЯТЕЛЬНОСТИ, иначе тупое начальство уволит за ненадобностью.

Тут конечно есть ещё где развернуться, но это уже тянет на статью и слишком большой оффтопик.

EvilFox ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.