Cztery luki typu Zero-day w jednym dniu. Microsoftowi nie wystarczyło pół roku, by naprawić Internet Explorera Strona główna Aktualności23.07.2015 13:13 Udostępnij: O autorze Adam Golański @eimi Używasz Internet Explorera? Lepiej przestań, chyba że trzymasz go w jakiejś dobrze odizolowanej maszynie wirtualnej. Microsoftowi nie wystarczyło siedmiu miesięcy na załatanie czterech krytycznych luk, jakie przedstawili mu członkowie Zero Day Initiative z HP. Zgodnie z oficjalną polityką bezpieczeństwa HP Tipping Point, jeśli producent oprogramowania w ciągu czterech miesięcy od przedstawienia mu informacji o lukach nie wyda łatek, informacje o zagrożeniu zostają upublicznione, choć możliwe jest uzyskanie wydłużenia tego okresu ciszy. Sprawa jest poważna, gdyż wszystkie cztery przedstawione dziś luki pozwalają na zdalne wykonanie kodu na zaatakowanej maszynie z uprawnieniami takimi samymi, jak zalogowanego użytkownika. Dla osób pracujących na kontach z uprawnieniami administratora oznacza to w praktyce przejęcie ich maszyny. Atak typu drive-by, wykorzystujący kod JavaScriptu na spreparowanej stronie internetowej, może zamienić w ten sposób komputer w zombie, kontrolowane przez operatora botnetu i wykorzystywane np. do rozsyłania spamu czy ataków DDoS na inne komputery. Oczywiście tak samo napastnik może wydobyć z zaatakowanego komputera wrażliwe informacje, np. hasła do witryn i usług, z których korzysta ofiara. Członkowie ZDI nie ujawnili, czy napotkali już w Sieci zagrożenia wykorzystujące odkryte przez nich luki, zapewniają jedynie, że klienci HP korzystający z filtrów Tipping Point IPS Digital Vaccine nie mają się czego obawiać. To jednak w praktyce tylko pracownicy niektórych korporacji. Dla pozostałych użytkowników Internet Explorera najlepszym rozwiązaniem pozostaje przynajmniej chwilowe przełączenie się na Firefoksa, Chrome czy inną przeglądarkę. Pierwsza z odkrytych luk, oznaczona jako ZDI-15-359, wiąże się z przetwarzaniem tablic przedstawiających komórki tabel HTML. Manipulując elementami dokumentu można wymusić we wszystkich wersjach Internet Explorera błąd pamięci, za sprawą którego możliwe staje się uruchomienie własnego kodu w kontekście aktualnego procesu. Druga luka to ZDI-15-360, w której chodzi o obsługę obiektów CAttrArray. Poprzez atak typu use-after-free na zwisający wskaźnik (czyli nie będący identyfikatorem aktualnie przechowywanego obiektu) możliwe się staje uruchomienie własnego kodu w kontekście aktualnego procesu. Na tym samym polegają ataki opisane w ZDI-15-361 (mierzy się jednak w obiekty CCurrentStyle) i ZDI-15-362 (dotyczy obiektu CTreePos). Badacze z HP podkreślają, że luki zostały przedstawione Microsoftowi 20 stycznia br., za potwierdzeniem odbioru. W marcu Microsoft poprosił o przedłużenie terminu ujawnienia luk do 19 lipca br. Na początku lipca ZDI zapytało się o stan prac nad łatkami, jednak ludzie z Redmond nie potrafili przedstawić żadnego konkretnego terminu. Jako że do 20 lipca Microsoft nie wydał żadnej łatki, informacje o zagrożeniach zostały publicznie udostępnione. Nic w tym dziwnego, siedem miesięcy groźnych luk w świecie, w którym firmy pokroju Hacking Teamu oferują rozmaitym instytucjom państwowym narzędzia do atakowania komputerów osób prywatnych, firm i organizacji to nie jest coś, co można byłoby tolerować. Pozostaje mieć nadzieję, że w najbliższych dniach Redmond pozaplanowo wyda niezbędne łatki do Internet Explorera. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Dyski sieciowe Western Digital narażone na atak: luka znana od ponad roku jest wciąż niezałatana 19 wrz 2018 Oskar Ziomek Oprogramowanie Sprzęt Bezpieczeństwo 43 Szesnastolatek, który ukradł Apple'owi 90 GB poufnych danych, uniknie kary więzienia 28 wrz 2018 Piotr Urbaniak Biznes Bezpieczeństwo 22 WhatsApp z poważną luką. Wystarczyło znać numer telefonu, by przejąć aplikację 10 paź 2018 Anna Rymsza Oprogramowanie Bezpieczeństwo 27 Edge z poważną luką. Exploit pozwala uruchomić programy na komputerze ofiary 5 lis 2018 Anna Rymsza Oprogramowanie Bezpieczeństwo 47
Udostępnij: O autorze Adam Golański @eimi Używasz Internet Explorera? Lepiej przestań, chyba że trzymasz go w jakiejś dobrze odizolowanej maszynie wirtualnej. Microsoftowi nie wystarczyło siedmiu miesięcy na załatanie czterech krytycznych luk, jakie przedstawili mu członkowie Zero Day Initiative z HP. Zgodnie z oficjalną polityką bezpieczeństwa HP Tipping Point, jeśli producent oprogramowania w ciągu czterech miesięcy od przedstawienia mu informacji o lukach nie wyda łatek, informacje o zagrożeniu zostają upublicznione, choć możliwe jest uzyskanie wydłużenia tego okresu ciszy. Sprawa jest poważna, gdyż wszystkie cztery przedstawione dziś luki pozwalają na zdalne wykonanie kodu na zaatakowanej maszynie z uprawnieniami takimi samymi, jak zalogowanego użytkownika. Dla osób pracujących na kontach z uprawnieniami administratora oznacza to w praktyce przejęcie ich maszyny. Atak typu drive-by, wykorzystujący kod JavaScriptu na spreparowanej stronie internetowej, może zamienić w ten sposób komputer w zombie, kontrolowane przez operatora botnetu i wykorzystywane np. do rozsyłania spamu czy ataków DDoS na inne komputery. Oczywiście tak samo napastnik może wydobyć z zaatakowanego komputera wrażliwe informacje, np. hasła do witryn i usług, z których korzysta ofiara. Członkowie ZDI nie ujawnili, czy napotkali już w Sieci zagrożenia wykorzystujące odkryte przez nich luki, zapewniają jedynie, że klienci HP korzystający z filtrów Tipping Point IPS Digital Vaccine nie mają się czego obawiać. To jednak w praktyce tylko pracownicy niektórych korporacji. Dla pozostałych użytkowników Internet Explorera najlepszym rozwiązaniem pozostaje przynajmniej chwilowe przełączenie się na Firefoksa, Chrome czy inną przeglądarkę. Pierwsza z odkrytych luk, oznaczona jako ZDI-15-359, wiąże się z przetwarzaniem tablic przedstawiających komórki tabel HTML. Manipulując elementami dokumentu można wymusić we wszystkich wersjach Internet Explorera błąd pamięci, za sprawą którego możliwe staje się uruchomienie własnego kodu w kontekście aktualnego procesu. Druga luka to ZDI-15-360, w której chodzi o obsługę obiektów CAttrArray. Poprzez atak typu use-after-free na zwisający wskaźnik (czyli nie będący identyfikatorem aktualnie przechowywanego obiektu) możliwe się staje uruchomienie własnego kodu w kontekście aktualnego procesu. Na tym samym polegają ataki opisane w ZDI-15-361 (mierzy się jednak w obiekty CCurrentStyle) i ZDI-15-362 (dotyczy obiektu CTreePos). Badacze z HP podkreślają, że luki zostały przedstawione Microsoftowi 20 stycznia br., za potwierdzeniem odbioru. W marcu Microsoft poprosił o przedłużenie terminu ujawnienia luk do 19 lipca br. Na początku lipca ZDI zapytało się o stan prac nad łatkami, jednak ludzie z Redmond nie potrafili przedstawić żadnego konkretnego terminu. Jako że do 20 lipca Microsoft nie wydał żadnej łatki, informacje o zagrożeniach zostały publicznie udostępnione. Nic w tym dziwnego, siedem miesięcy groźnych luk w świecie, w którym firmy pokroju Hacking Teamu oferują rozmaitym instytucjom państwowym narzędzia do atakowania komputerów osób prywatnych, firm i organizacji to nie jest coś, co można byłoby tolerować. Pozostaje mieć nadzieję, że w najbliższych dniach Redmond pozaplanowo wyda niezbędne łatki do Internet Explorera. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji