REPLY-TO-ALL is a double language blog (English/Russian) run by three information security practitioners. Want to discuss information security problems? This is the place.
Расскажу историю об этой уязвимости. Я не работаю в Windows под админом. Каково же было мое удивление, когда после инсталляции продукта я обнаружил, что все клиентские файлы Деловая почта хранит в "Program Files". Поскольку я не админ, очевидно, что _после инсталляции_ я получил возможность туда писать. Посмотрев права на папку я с ужасом заметил Everyone ну и, конечно, исправил проблему, оставив права на запись только своей учетке. Появившегося пользователя в Админах удалил со словами "ибо нефиг". Указанный ivpsrv.exe не нужен для работы Деловой почты, поэтому такое удаление не повлияло на работу.
Расскажу историю об этой уязвимости.
ReplyDeleteЯ не работаю в Windows под админом. Каково же было мое удивление, когда после инсталляции продукта я обнаружил, что все клиентские файлы Деловая почта хранит в "Program Files". Поскольку я не админ, очевидно, что _после инсталляции_ я получил возможность туда писать. Посмотрев права на папку я с ужасом заметил Everyone ну и, конечно, исправил проблему, оставив права на запись только своей учетке.
Появившегося пользователя в Админах удалил со словами "ибо нефиг".
Указанный ivpsrv.exe не нужен для работы Деловой почты, поэтому такое удаление не повлияло на работу.