Jelentős biztonsági hiba a Microsoft JPEG-kezelésében

[News.com] A Microsoft kedden új patchet adott ki a Windows alatt futó szoftverek JPEG-kezelésével kapcsolatos kritikus biztonsági sebezhetőség megszüntetésére, melyhez egy olyan alkalmazás is elérhető, amivel valamennyi értintett szoftver felkutatható a felhasználók számítógépén.

A kritikusnak minősített hiba a Microsoft operációs rendszereiben és szoftvereiben is megtalálható, és lehetővé teszi, hogy egy JPEG kép segítségével kártékony kódot lehessen az azt megjelenítő számítógépen futtatni. Mivel a szoftveróriás Internet Explorer böngészője is érintett, valamennyi Windows-felhasználó áldozatává válhat ennek a szokatlan támadának, egyszerűen egy fertőzött képeket tartalmazó honlap megjelenítésével.

A hiba nagyon súlyos következményekkel járhat; biztonsági szakemberek attól tartanak, hogy már úton vannak a sebezhetőséget kihasználó vírusok is. "Hatalmas esélye van egy ezt kihasználó támadásnak, ugyanakkor még nem találkoztunk olyan kóddal, ami a hibát ténylegesen kihasználná" -- ismertette Craig Schmugar, a McAfee víruskutatási részlegének menedzsere. Gyakori, hogy a valódi veszélyt jelentő vírusok megjelenése előtt -- a patchek kiadása, illetve a hibák bejelentése után -- napvilágot látnak a sebezhetőséget bemutató, de végeredményben ártalmatlan kódok, azonban ebben az esetben ez még nem történt meg.

A biztonsági rés legalább egy tucat Microsoft alkalmazást és operációs rendszert érint, köztük megtalálható a Windows XP, Windows Server 2003, Office XP, Office 2003, Internet Explorer 6 SP1, Project, Visio, Picture It, és a Digital Image Pro. A Microsoft oldalán érhető el az érintett alkalmazások teljes listája. A nemrégiben kiadott Windows XP SP2 nem tartalmaz olyan részeket, melyekben a kérdéses hiba kihasználható volna.

"Az igazi kihívást az jelenti, hogy [a biztonsági hiba] több terméket is érint" -- mondta el Stephen Toulouse, a Microsoft biztonsági programmenedzsere. Mivel egyszerre több szoftver is veszélyt jelenthet a számítógépekre, a Microsoft egy olyan alkalmazást is elérhetővé tett, amivel a felhasználók teljeskörűen megszüntethetik a fertőzés lehetőségét minden érintett programban. A Windows Update használata során ne lepődjünk meg tehát, ha az Office Update szolgáltatással kerülünk szembe, ami felajánlja az érintett szoftvereket megkereső eszköz letöltését. Ez a kisalkalmazás is előrevetíti, milyen automatizált frissítési mechanizmusokat fog a vállalat készíteni a jövőben.

"Tudjuk, hogy ügyfeleink részéről az egyik legfontosabb kérés a szoftverfrissítések folyamatának megkönnyítése. Jelenleg egy egységes frissítési mechanizmus készítésének lehetőségeit vizsgáljuk" --ismertette Toulouse.

A hiba a Windows GDI+ megjelenítési alrendszerében található, és emiatt a fejlesztőeszközöket, valamint az ezekkel készített alkalmazások egy részét is frissíteni kell. A patch a Visual Studio 2003 és a .Net keretrendszer 1.1-es változatának módosítását is elvégzi.

A Microsofttal ellentétben a Linux-disztribúciók már tartalmaznak olyan átfogó frissítési rendszereket, amik nem csak az operációs rendszert, de a rajtuk futó, nyílt forráskódú programokat is frissítik. Mivel a Windowsra írt alkalmazások többségét nem a Microsoft készíti, felmerül az igény egy olyan egységes frissítési megoldás iránt, ami a linuxos megvalósuláshoz hasonlóan képes valamennyi szoftver új verziójának letöltésére, és így a hibák kijavítására.

A JPEG-fájlokban elrejtett kártékony kód az érintett szoftverek esetében azonnal lefut, amint a kép megjelenik a képernyőn. A sebezhetőség nem áll kapcsolatban az augusztus elején feltárt hibával, ami a Portable Network Graphics (PNG) képformátum biztonsági vonatkozásaival volt kapcsolatos, és érintette a Linuxos, Windowsos, és az Apple Mac OS X-en futó szoftvereket is. Mind a PNG és a JPEG fájlok előfordulása általánosnak mondható a honlapokon.

A 2004 április óta működő értesítési programban résztvevő ügyfelek egy titoktartási nyilatkozat kitöltése révén már három nappal korábban értesültek a JPEG-fájlok sebezhetőségéről. "Némely ügyfelünk tervezési okokra hivatkozva több információt szeretett volna kapni" -- közölte Toulouse azokra a megkeresésekre, melyek szerint a kiemelt ügyfelek korábban jutnak hozzá a biztonságot érintő közleményekhez. Az érdeklődő ügyfeleket közvetlenül a Microsoft értékesítési képviselőjéhez irányította. A hivatalos bejelentés előtti tájékoztatás kimerül a hibák számának, veszélyességének, és az általuk érintett szoftverek felsorolásában.

Jelen JPEG-hiba a Microsoft ezévi 28. biztonsági értesítésében szerepel. Egyre gyakoribb, hogy a vállalat egy értesítésben több sebezhetőségre hívja fel a figyelmet, így például az áprilisiban több mint 20 biztonsági sebezhetőség található.

Kedden megjelent egy másik Microsoft hibajavítás is, amely a WordPerfect fájlok Microsoft Office, Publisher, Word és Works alatti konverziójának hibáit orvosolja. A hibát a vállalat fontosnak jelölte meg, ami a legveszélyesebb, kritikus hibáknál eggyel kisebb besolorás. Befoltozatlan szoftverek esetén mód nyílik módosított WordPerfect dokumentumokkal átvenni az áldozat számítógépe feletti irányítást.

Az ismertetett hibákról további információk találhatóak a Microsoft honlapján is megtalálható biztonsági értesítésben. A második hiba javítására a szoftveróriás az Office Update szolgáltatást ajánlja.