| Автор |
Сообщение |
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 17 лет 6 мес.
Сообщений: 5092
Ratio: 25.179
Поблагодарили: 13237
100%
|
Ошибка в файловой системе NTFS позволяет злоумышленникам вызвать зависание или аварийное завершение работы компьютеров под управлением Windows Vista, Windows 7 или Windows 8.1. Для этого им всего лишь нужно заставить жертву попытаться открыть несуществующий файл по особым образом созданному пути доступа.
Проблема была обнаружена и подробно описана на сайте «Хабрахабр» российским исследователем под псевдонимом Anatolymik. Злоумышленники могут проэксплуатировать ошибку, либо заставив пользователя открыть несуществующий файл непосредственно с помощью команды Run, либо незаметно загрузив путь доступа к нему на web-страницу в качестве URL изображения. Примечательно, баг работает в браузерах Internet Explorer и Firefox, но не работает в Chrome.Причина возникновения проблемы кроется в файле $MFT. Этот файл является самым важным в разделе диска, поскольку отслеживает все файлы на томе, их физическое местоположение на жестком диске, логическое расположение внутри папок и всевозможные метаданные. Пользователи не могут открыть файл, поскольку это может привести к разрушению всех данных. По словам Anatolymik, если использовать имя файла $MFT в качестве имени директории (C:\$MFT\foo), можно вызвать зависание или аварийное завершение работы Windows. Если система зависла, единственный способ решить проблему — перезагрузить компьютер. NTFS (New Technology File System — «файловая система новой технологии») — стандартная файловая система для семейства операционных систем компании Microsoft. NTFS поддерживает хранение метаданных. MFT (Master File Table — «Главная файловая таблица») — главная файловая таблица, хранящая информацию о содержимом тома с NTFS, представляющая собой таблицу, строки которой соответствуют файлам тома, а столбцы — атрибутам файлов. Источник |
_________________
«Если ты ненавидишь, значит тебя победили» – Конфуций
|
|
 |
S3rg31
Стаж: 8 лет 9 мес.
Сообщений: 565
Ratio: 23.033
Поблагодарили: 49481
100%
|
sergey26.08 писал(а):  | Шо ни день, то всэ лучше и лучше новость. |
И не говорите)  Вчера установил Win XP (хочу посидеть на ней ещё малость, вспомнить те года, да парачку старых добрых игр еще раз пройти)),, и тут такая новость: "..позволяет злоумышленникам вызвать зависание или аварийное завершение работы компьютеров под управлением Windows Vista, Windows 7 или Windows 8.1." фух..надеюсь пронесет......  |
|
|
|
|
AnOcToJI
Стаж: 14 лет 1 мес.
Сообщений: 1108
Ratio: 50.7
Раздал: 100.7 TB
Поблагодарили: 4233
100%
Откуда: со дна
|
Как минимум злоумышленнику нужно проникнуть на комп жертвы, чтобы это сделать и ждать пока пользователь откроет этот файл...но вопрос зачем это делать, если ты и так проник в комп? xD ну завис он, перезагрузился, всё) максимум напакостить не более) а винда и без этих уязвимостей сама может заглохнуть) и если у тебя стоит vista то ты должен страдать, потому что ты садомазохистский как минимум))
Товарищи которые видят заговор мелкомягких, чтобы перешли на вин10, успокойтесь, то что вы установите пиратскую 10 всем плевать, особенно компании с миллиардными доходами) хоть на досе сидите) |
|
|
|
|
Фафнир
Только чтение
Стаж: 10 лет 2 мес.
Сообщений: 481
Ratio: 14.839
100%
Откуда: Украина
|
Нужно быть убитым наркоманом, чтоб | Цитата: | попытаться открыть несуществующий файл по особым образом созданному пути доступа. |
|
_________________
Esse quam videri
|
|
|
|
mariman
Uploader 100+
Стаж: 17 лет 3 мес.
Сообщений: 627
Ratio: 85.001
Поблагодарили: 316
100%
|
| LOG1NOV-S писал(а): | | sergey26.08 писал(а): | Шо ни день, то всэ лучше и лучше новость. |
И не говорите) Вчера установил Win XP да парачку старых добрых игр еще раз пройти)),, |
Надо было сразу Windows 3.1 ставить,там первый Сапер и никакого NTFS. |
_________________
этот стон у нас Песней зовётся!
|
|
|
|
isidzukuri
Стаж: 17 лет
Сообщений: 1081
Ratio: 6.034
Поблагодарили: 1719
100%
|
Заговор яблочников, не иначе |
|
|
|
|
avrora7
Стаж: 9 лет 4 мес.
Сообщений: 4687
Ratio: 96.037
Поблагодарили: 63036
100%
|
| Цитата: | Примечательно, баг работает в браузерах Internet Explorer и Firefox, но не работает в Chrome. |
Похоже на очередную, страшилко-рекламу.. а чего .. догадайтесь сами. Топорная работа..) |
_________________
Улыбайтесь, господа. Улыбайтесь! (Мюнхга́узен).
|
|
|
|
gris2019
Стаж: 7 лет
Сообщений: 36
Ratio: 22.716
Поблагодарили: 1
100%
|
у меня не одной папки нет такой |
|
|
|
|
dimitriy7
Стаж: 16 лет 6 мес.
Сообщений: 5232
Ratio: 69.743
Раздал: 1.108 TB
Поблагодарили: 366
13.64%
Откуда: Лучший город Земли
|
| jadeskull писал(а): | да, да, ещё в четвертой ВСЕ данные ,чтобы уничтожить, надо было заботливо перетереть всё ноликами и единичками. А не просто стереть в головном MFT. |
Ну вообще-то в NTFS ранлисты хранятся в единственном экземпляре и именно в $MFT. И если их потереть -- данные превратятся в винегрет почти без возможности восстановления, ты же не будешь руками собирать файло из 100500 фрагментов? В той же FAT хотя бы 2 копии было  Другое дело, что новость ни о чем -- ОС тут просто подвиснет, но все равно не даст доступа к $MFT как к "просто файлу", и злоумышленник никак ФС не попортит. Так, максимум мелко напакостит, заставив нажать ресет. |
|
|
|
|
jadeskull
Стаж: 9 лет 6 мес.
Сообщений: 458
Ratio: 6.262
1.3%
|
| dimitriy7 писал(а): |
Ну вообще-то в NTFS ранлисты хранятся в единственном экземпляре и именно в $MFT.
|
Вот, что говорят на англицком | Цитата: | Each file on an NTFS volume is represented by a record in a special file called the master file table (MFT). NTFS reserves the first 16 records of the table for special information. The first record of this table describes the master file table itself, followed by a MFT mirror record.If the first MFT record is corrupted, | Цитата: | NTFS reads the second record to find the MFT mirror file |
, whose first record is identical to the first record of the MFT. The locations of the data segments for both the MFT and MFT mirror file are recorded in the boot sector. |
Единственно, что вроде как вспоминается из прошлого, что по стандарту метафайлы должны быть разбросаны по диску, а не в бут области. А то смысл то, бут область соскрести и данные не восстановить без посекторного скана. |
|
|
|
|
itfake
Стаж: 12 лет 3 мес.
Сообщений: 449
Ratio: 11.453
0.2%
|
| dimitriy7 писал(а): | ты же не будешь руками собирать файло из 100500 фрагментов? |
Не однократно это делал. Даже ПО есть для этого. Что в этом сакрального? |
|
|
|
|
dimitriy7
Стаж: 16 лет 6 мес.
Сообщений: 5232
Ratio: 69.743
Раздал: 1.108 TB
Поблагодарили: 366
13.64%
Откуда: Лучший город Земли
|
| jadeskull писал(а): | Вот, что говорят на англицком |
Читаем внимательней: там говорится, что в $MFTMirr хранится копия только начальных записей $MFT, касающихся расположения самих $MFT и $MFTMirr и основных метафайлов. А в $Boot, соответственно, тупо лежат адреса первых записей $MFT и $MFTMirr, ссылающихся на сам $MFT. А вот все атрибуты пользовательских файлов, включая ранлисты -- НИКАК не дублируются, хранятся в единственном экземпляре. В отличие от FAT, где как раз были две ПОЛНЫХ копии файловой таблицы. itfakeДа просто это не всегда удается, у многих файлов нет четкой внутренней структуры, чтобы правильно автоматом собрать из кусочков. Вот пример уничтоженного ранлиста: http://rgho.st/7qdw5WYxmЭто были 2 файла размером 2871808 и 427008 байт -- сможешь собрать, как было? |
|
|
|
|
jadeskull
Стаж: 9 лет 6 мес.
Сообщений: 458
Ratio: 6.262
1.3%
|
| dimitriy7 писал(а): |
А вот все атрибуты пользовательских файлов, включая ранлисты -- НИКАК не дублируются, хранятся в единственном экземпляре.
|
Окей, а копия бутсектора плюс первые четыре записи не спасут отца русской демократии? ps. в русской вики аж 16 записей в зеркале, в аглицком сообществе тоже говорят, про четыре. Но там самое главное вроде как есть. Тут такой вопрос, в обяз бэкап, или же копия хранит аттрибуты? |
|
|
|
|
dimitriy7
Стаж: 16 лет 6 мес.
Сообщений: 5232
Ratio: 69.743
Раздал: 1.108 TB
Поблагодарили: 366
13.64%
Откуда: Лучший город Земли
|
| jadeskull писал(а): | Окей, а копия бутсектора плюс первые четыре записи не спасут отца русской демократии?
ps. в русской вики аж 16 записей в зеркале, в аглицком сообществе тоже говорят, про четыре. Но там самое главное вроде как есть. |
Не спасут, ни 4 записи, ни 16. Ибо самое главное -- ранлисты (т. е. информация о том, в каких кластерах физически лежат тела каких файлов) хранятся одном экземпляре. И если они затерты -- то ФС превратится просто в набор кластеров, и про каждый кластер будет известно только то, был он пуст или в нем лежал фрагмент какого-то файла, а вот какого именно -- неизвестно. PS Т.е. останется отдельно список имен папок и файлов, и отдельно -- общий список занятых кластеров. А вот вся информация о том, как и в каком порядке из 4-килобайтных кусочков можно составить конкретные файлы -- будет утрачена. Вон, реальный пример выше. Добавлено спустя 17 минут 15 секунд:PPS Но на самом деле на практике не всё так плохо: $MFT имеет огромные размеры (сотни мегабайт и больше!) и может быть размазан по всему диску -> маловероятно, что его сразу весь можно вот так просто уничтожить. А небольшие повреждения $MFT не критичны и ведут к потере только нескольких файлов, а не всех на разделе. При этом ранлист самого $MFT таки продублирован в $MFTMirr, а сам файл $MFT имеет легкоузнаваемую структуру и легко восстанавливается из уцелевших фрагментов сигнатурным поиском, даже если уничтожен и $MFTMirr. Так что случайно, из-за сбоя-глюка -- порушить NTFS нереально. Только если целенаправленно затирать всё тело $MFT, но это уже не про эту новость. |
|
|
|
|
Sataxanar
Стаж: 9 лет 8 мес.
Сообщений: 13
Ratio: 8.499
25.54%
|
Попробовал ХР повалить сием действием. Знаете, не получилось... |
|
|
|
|
Gorbatoff
Стаж: 12 лет 4 мес.
Сообщений: 469
Ratio: 1.577
70.4%
|
ТУПАЯ РЕКЛАМА ВИН 10 ДЛЯ ЛОХОВ!! хомячки поведутся и перейдут на десятку)) вот только проблема микрософт в том, что хомячки уже давно на ней, а остальные пользователи дружат с головой и не поведутся на этот бред |
|
|
|
|
|
|
