r   e   k   l   a   m   a
r   e   k   l   a   m   a

0-day dla IE8: exploitów wciąż nie ma, ale po pół roku łatek od Microsoftu też nie widać

Strona główna AktualnościOPROGRAMOWANIE

Oprogramowanie, które jeszcze kilka lat temu było dumą Microsoftu, zalecaną użytkownikom jako najlepsze i najbezpieczniejsze, dziś jest dla firmy tylko niechcianym kłopotem. Jeśli wciąż korzystacie z tych czy innych powodów z Internet Explorera 8 (lub jego komponentów, zaszytych w Windows), wiedzcie, że od ponad pół roku znana jest luka pozwalająca zdalnie uruchomić na waszym komputerze złośliwy kod – i Microsoft do tej pory nic z nią nie zrobił.

W październiku zeszłego roku Peter 'corelanc0d3r' Van Eeckhoutte odkrył groźną lukę w Internet Explorerze 8. Błąd typu use-after-free (odniesienie się do pamięci po tym, jak została uwolniona), związany ze sposobem obsługi obiektów CMarkup, pozwala napastnikowi poprzez manipulację elementami dokumentu HTML za pomocą JavaScriptu doprowadzić do awarii, wskutek której uruchomi swój kod z uprawnieniami aktualnego procesu. Błąd został przekazany do Zero Day Initative – programu, który nagradza badaczy za odpowiedzialne odkrywanie luk w zabezpieczeniach oprogramowania.

Zgodnie z polityką ZDI, odkrycia takie zostają przekazane producentom. Jeśli w ciągu pół roku producent nie przygotuje łatki, informacja o luce może zostać upubliczniona. Microsoft otrzymał zgłoszenie 11 października 2013 roku. Dopiero 10 lutego 2014 ZDI otrzymało potwierdzenie, że błąd został odtworzony. 9 kwietnia upływał standardowy okres łaski dla producenta – odpowiedzi od Microsoftu nie było. 8 maja ZDI wysłało do Microsoftu wiadomość o tym, że zamierza upublicznić informację o zagrożeniu. Odpowiedzi od Microsoftu nie było. Dwa tygodnie później ZDI finalnie publikuje informację o CVE-2014-1770,

r   e   k   l   a   m   a

Internet Explorer 8 jest ostatnią przeglądarką Microsoftu dostępną dla Windows XP. Zakończenie wsparcia dla Windows XP nie oznacza jednak, że Microsoft może dać już sobie spokój z Internet Explorerem 8: przeglądarka ta dostarczana była też dla wciąż wspieranych systemów: Windows Vista, Windows 7 i Windows Server 2008. Według Net Applications, w kwietniu tego roku z IE8 lub przeglądarek będących nakładkami na IE8 korzystało ponad 20% internautów na całym świecie.

Choć ZDI określiło podatność jako 0-day, to trzeba pamiętać, że członkowie inicjatywy rozumieją to dość specyficznie. Zwykle przez 0-day rozumie się luki, dla których exploity gotowe są już w momencie publicznego wyjawienia informacji o nich. Van Eeckhoutte twierdzi jednak, że ostrzeżenie ZDI nie zawiera dość informacji, by napisanie za jego pomocą exploita możliwe było od ręki – a on sam na pewno nic o exploicie nie wie.

Niektóre serwisy internetowe doniosły, że Microsoft ogłosił, że błędu tego nie naprawi. Nie wiadomo, skąd pochodzi ta informacja: zgodnie z naszą wiedzą samo Redmond nie podjęło oficjalnej decyzji w tej sprawie. Zapewne wahanie może dotyczyć wydania poprawki dla niewspieranego już XP, natomiast trudno przypuszczać, by Redmond zdecydowało się zignorować lukę w IE8 dla Windows 7 czy Windows Servera 2008. Trzeba pamiętać, że IE8 to nie tylko przeglądarka dla końcowego użytkownika, to też istotny komponent systemowy, wykorzystywany przez wiele innych aplikacji Microsoftu.

Osobom, które poczuły się zagrożone przez CVE-2014-1770 radzi się zablokować kontrolki ActiveX, w ustawieniach strefy Internet włączając wysoki poziom zabezpieczeń, wyłączyć Active Scripting w strefie Internet i lokalnej, oraz zainstalować zestaw narzędzi rozszerzonego środowiska ograniczającego ryzyko (EMET) – według odkrywcy, uniemożliwia on atak.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.