Cztery luki typu Zero-day w jednym dniu. Microsoftowi nie wystarczyło pół roku, by naprawić Internet Explorera Strona główna Aktualności23.07.2015 13:13 Udostępnij: O autorze Adam Golański @eimi Używasz Internet Explorera? Lepiej przestań, chyba że trzymasz go w jakiejś dobrze odizolowanej maszynie wirtualnej. Microsoftowi nie wystarczyło siedmiu miesięcy na załatanie czterech krytycznych luk, jakie przedstawili mu członkowie Zero Day Initiative z HP. Zgodnie z oficjalną polityką bezpieczeństwa HP Tipping Point, jeśli producent oprogramowania w ciągu czterech miesięcy od przedstawienia mu informacji o lukach nie wyda łatek, informacje o zagrożeniu zostają upublicznione, choć możliwe jest uzyskanie wydłużenia tego okresu ciszy. Sprawa jest poważna, gdyż wszystkie cztery przedstawione dziś luki pozwalają na zdalne wykonanie kodu na zaatakowanej maszynie z uprawnieniami takimi samymi, jak zalogowanego użytkownika. Dla osób pracujących na kontach z uprawnieniami administratora oznacza to w praktyce przejęcie ich maszyny. Atak typu drive-by, wykorzystujący kod JavaScriptu na spreparowanej stronie internetowej, może zamienić w ten sposób komputer w zombie, kontrolowane przez operatora botnetu i wykorzystywane np. do rozsyłania spamu czy ataków DDoS na inne komputery. Oczywiście tak samo napastnik może wydobyć z zaatakowanego komputera wrażliwe informacje, np. hasła do witryn i usług, z których korzysta ofiara. Członkowie ZDI nie ujawnili, czy napotkali już w Sieci zagrożenia wykorzystujące odkryte przez nich luki, zapewniają jedynie, że klienci HP korzystający z filtrów Tipping Point IPS Digital Vaccine nie mają się czego obawiać. To jednak w praktyce tylko pracownicy niektórych korporacji. Dla pozostałych użytkowników Internet Explorera najlepszym rozwiązaniem pozostaje przynajmniej chwilowe przełączenie się na Firefoksa, Chrome czy inną przeglądarkę. Pierwsza z odkrytych luk, oznaczona jako ZDI-15-359, wiąże się z przetwarzaniem tablic przedstawiających komórki tabel HTML. Manipulując elementami dokumentu można wymusić we wszystkich wersjach Internet Explorera błąd pamięci, za sprawą którego możliwe staje się uruchomienie własnego kodu w kontekście aktualnego procesu. Druga luka to ZDI-15-360, w której chodzi o obsługę obiektów CAttrArray. Poprzez atak typu use-after-free na zwisający wskaźnik (czyli nie będący identyfikatorem aktualnie przechowywanego obiektu) możliwe się staje uruchomienie własnego kodu w kontekście aktualnego procesu. Na tym samym polegają ataki opisane w ZDI-15-361 (mierzy się jednak w obiekty CCurrentStyle) i ZDI-15-362 (dotyczy obiektu CTreePos). Badacze z HP podkreślają, że luki zostały przedstawione Microsoftowi 20 stycznia br., za potwierdzeniem odbioru. W marcu Microsoft poprosił o przedłużenie terminu ujawnienia luk do 19 lipca br. Na początku lipca ZDI zapytało się o stan prac nad łatkami, jednak ludzie z Redmond nie potrafili przedstawić żadnego konkretnego terminu. Jako że do 20 lipca Microsoft nie wydał żadnej łatki, informacje o zagrożeniach zostały publicznie udostępnione. Nic w tym dziwnego, siedem miesięcy groźnych luk w świecie, w którym firmy pokroju Hacking Teamu oferują rozmaitym instytucjom państwowym narzędzia do atakowania komputerów osób prywatnych, firm i organizacji to nie jest coś, co można byłoby tolerować. Pozostaje mieć nadzieję, że w najbliższych dniach Redmond pozaplanowo wyda niezbędne łatki do Internet Explorera. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Żarówki Philips Hue z poważną luką. Pozwoliła na włamanie do sieci komputerowej 5 lut 2020 Arkadiusz Stando Sprzęt Bezpieczeństwo SmartDom 129 Produkty Microsoftu najczęstszym celem cyberprzestępców w 2019 roku 7 lut 2020 Jakub Krawczyński Oprogramowanie Bezpieczeństwo 26 Xbox Bounty już działa. Microsoft zapłaci za wykrytą lukę do 20 tys. dolarów 31 sty 2020 Oskar Ziomek Oprogramowanie Gaming Biznes Bezpieczeństwo 10 Kolejna poważna luka w Android 8 i 9. BlueFrag pozwala przesyłać malware Bluetoothem 10 lut 2020 Arkadiusz Stando Oprogramowanie Internet Bezpieczeństwo 43
Udostępnij: O autorze Adam Golański @eimi Używasz Internet Explorera? Lepiej przestań, chyba że trzymasz go w jakiejś dobrze odizolowanej maszynie wirtualnej. Microsoftowi nie wystarczyło siedmiu miesięcy na załatanie czterech krytycznych luk, jakie przedstawili mu członkowie Zero Day Initiative z HP. Zgodnie z oficjalną polityką bezpieczeństwa HP Tipping Point, jeśli producent oprogramowania w ciągu czterech miesięcy od przedstawienia mu informacji o lukach nie wyda łatek, informacje o zagrożeniu zostają upublicznione, choć możliwe jest uzyskanie wydłużenia tego okresu ciszy. Sprawa jest poważna, gdyż wszystkie cztery przedstawione dziś luki pozwalają na zdalne wykonanie kodu na zaatakowanej maszynie z uprawnieniami takimi samymi, jak zalogowanego użytkownika. Dla osób pracujących na kontach z uprawnieniami administratora oznacza to w praktyce przejęcie ich maszyny. Atak typu drive-by, wykorzystujący kod JavaScriptu na spreparowanej stronie internetowej, może zamienić w ten sposób komputer w zombie, kontrolowane przez operatora botnetu i wykorzystywane np. do rozsyłania spamu czy ataków DDoS na inne komputery. Oczywiście tak samo napastnik może wydobyć z zaatakowanego komputera wrażliwe informacje, np. hasła do witryn i usług, z których korzysta ofiara. Członkowie ZDI nie ujawnili, czy napotkali już w Sieci zagrożenia wykorzystujące odkryte przez nich luki, zapewniają jedynie, że klienci HP korzystający z filtrów Tipping Point IPS Digital Vaccine nie mają się czego obawiać. To jednak w praktyce tylko pracownicy niektórych korporacji. Dla pozostałych użytkowników Internet Explorera najlepszym rozwiązaniem pozostaje przynajmniej chwilowe przełączenie się na Firefoksa, Chrome czy inną przeglądarkę. Pierwsza z odkrytych luk, oznaczona jako ZDI-15-359, wiąże się z przetwarzaniem tablic przedstawiających komórki tabel HTML. Manipulując elementami dokumentu można wymusić we wszystkich wersjach Internet Explorera błąd pamięci, za sprawą którego możliwe staje się uruchomienie własnego kodu w kontekście aktualnego procesu. Druga luka to ZDI-15-360, w której chodzi o obsługę obiektów CAttrArray. Poprzez atak typu use-after-free na zwisający wskaźnik (czyli nie będący identyfikatorem aktualnie przechowywanego obiektu) możliwe się staje uruchomienie własnego kodu w kontekście aktualnego procesu. Na tym samym polegają ataki opisane w ZDI-15-361 (mierzy się jednak w obiekty CCurrentStyle) i ZDI-15-362 (dotyczy obiektu CTreePos). Badacze z HP podkreślają, że luki zostały przedstawione Microsoftowi 20 stycznia br., za potwierdzeniem odbioru. W marcu Microsoft poprosił o przedłużenie terminu ujawnienia luk do 19 lipca br. Na początku lipca ZDI zapytało się o stan prac nad łatkami, jednak ludzie z Redmond nie potrafili przedstawić żadnego konkretnego terminu. Jako że do 20 lipca Microsoft nie wydał żadnej łatki, informacje o zagrożeniach zostały publicznie udostępnione. Nic w tym dziwnego, siedem miesięcy groźnych luk w świecie, w którym firmy pokroju Hacking Teamu oferują rozmaitym instytucjom państwowym narzędzia do atakowania komputerów osób prywatnych, firm i organizacji to nie jest coś, co można byłoby tolerować. Pozostaje mieć nadzieję, że w najbliższych dniach Redmond pozaplanowo wyda niezbędne łatki do Internet Explorera. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji