Cztery luki typu Zero-day w jednym dniu. Microsoftowi nie wystarczyło pół roku, by naprawić Internet Explorera

Używasz Internet Explorera? Lepiej przestań, chyba że trzymaszgo w jakiejś dobrze odizolowanej maszynie wirtualnej. Microsoftowinie wystarczyło siedmiu miesięcy na załatanie czterech krytycznychluk, jakie przedstawili mu członkowie Zero Day Initiative z HP.Zgodnie z oficjalną polityką bezpieczeństwa HP Tipping Point,jeśli producent oprogramowania w ciągu czterech miesięcy odprzedstawienia mu informacji o lukach nie wyda łatek, informacje ozagrożeniu zostają upublicznione, choć możliwe jest uzyskaniewydłużenia tego okresu ciszy.

Sprawa jest poważna, gdyż wszystkie cztery przedstawione dziśluki pozwalają na zdalne wykonanie kodu na zaatakowanej maszynie zuprawnieniami takimi samymi, jak zalogowanego użytkownika. Dla osóbpracujących na kontach z uprawnieniami administratora oznacza to wpraktyce przejęcie ich maszyny. Atak typu drive-by, wykorzystującykod JavaScriptu na spreparowanej stronie internetowej, może zamienićw ten sposób komputer w zombie, kontrolowane przez operatora botnetui wykorzystywane np. do rozsyłania spamu czy ataków DDoS na innekomputery. Oczywiście tak samo napastnik może wydobyć zzaatakowanego komputera wrażliwe informacje, np. hasła do witryn iusług, z których korzysta ofiara.

Członkowie ZDI nie ujawnili, czy napotkali już w Siecizagrożenia wykorzystujące odkryte przez nich luki, zapewniająjedynie, że klienci HP korzystający z filtrów Tipping Point IPSDigital Vaccine nie mają się czego obawiać. To jednak w praktycetylko pracownicy niektórych korporacji. Dla pozostałychużytkowników Internet Explorera najlepszym rozwiązaniem pozostajeprzynajmniej chwilowe przełączenie się na Firefoksa, Chrome czyinną przeglądarkę.

Pierwsza z odkrytych luk, oznaczona jako ZDI-15-359,wiąże się z przetwarzaniem tablic przedstawiających komórkitabel HTML. Manipulując elementami dokumentu można wymusić wewszystkich wersjach Internet Explorera błąd pamięci, za sprawąktórego możliwe staje się uruchomienie własnego kodu w kontekścieaktualnego procesu. Druga luka to ZDI-15-360,w której chodzi o obsługę obiektów CAttrArray. Poprzez atak typuuse-after-free na zwisający wskaźnik (czyli nie będącyidentyfikatorem aktualnie przechowywanego obiektu) możliwe sięstaje uruchomienie własnego kodu w kontekście aktualnego procesu.Na tym samym polegają ataki opisane w ZDI-15-361(mierzy się jednak w obiekty CCurrentStyle) i ZDI-15-362(dotyczy obiektu CTreePos).

Badacze z HP podkreślają, że luki zostały przedstawioneMicrosoftowi 20 stycznia br., za potwierdzeniem odbioru. W marcuMicrosoft poprosił o przedłużenie terminu ujawnienia luk do 19lipca br. Na początku lipca ZDI zapytało się o stan prac nadłatkami, jednak ludzie z Redmond nie potrafili przedstawić żadnegokonkretnego terminu. Jako że do 20 lipca Microsoft nie wydał żadnejłatki, informacje o zagrożeniach zostały publicznie udostępnione.Nic w tym dziwnego, siedem miesięcy groźnych luk w świecie, wktórym firmy pokroju Hacking Teamu oferują rozmaitym instytucjompaństwowym narzędzia do atakowania komputerów osób prywatnych,firm i organizacji to nie jest coś, co można byłoby tolerować.Pozostaje mieć nadzieję, że w najbliższych dniach Redmondpozaplanowo wyda niezbędne łatki do Internet Explorera.