Friday, July 19, 2013

Сертифицированное на несертифицированном 2

1 comment:

Sergey Soldatov said...

Расскажу историю об этой уязвимости.
Я не работаю в Windows под админом. Каково же было мое удивление, когда после инсталляции продукта я обнаружил, что все клиентские файлы Деловая почта хранит в "Program Files". Поскольку я не админ, очевидно, что _после инсталляции_ я получил возможность туда писать. Посмотрев права на папку я с ужасом заметил Everyone ну и, конечно, исправил проблему, оставив права на запись только своей учетке.
Появившегося пользователя в Админах удалил со словами "ибо нефиг".
Указанный ivpsrv.exe не нужен для работы Деловой почты, поэтому такое удаление не повлияло на работу.