Szerző: Budai Péter

2004. december 28. 14:07:35

A Microsoft már vizsgálja a legújabb Windows bugokat

[eWeek/HWSW] A Microsoft hétfőn nemtetszését fejezte ki aziránt, hogy egy magánszemélyek alkotta kutatócsoport új sebezhetőségek kihasználásának módszereit mutatta be. A szoftveróriás véleménye szerint ez a felelőtlen lépés nem szolgálja az ügyfelek érdekeit, mivel a rosszindulatú hackerek ugyanakkor értesültek a hibákról, mint a vállalat, így lehetőség nyílik arra, hogy a hibajavítások elkészülte előtt kihasználják az ismertetett sebezhetőségeket Windows operációs rendszereket futtató számítógépek támadására.

[eWeek/HWSW] A Microsoft hétfőn nemtetszését fejezte ki aziránt, hogy egy magánszemélyek alkotta kutatócsoport új sebezhetőségek kihasználásának módszereit mutatta be. A szoftveróriás véleménye szerint ez a felelőtlen lépés nem szolgálja az ügyfelek érdekeit, mivel a rosszindulatú hackerek ugyanakkor értesültek a hibákról, mint a vállalat, így lehetőség nyílik arra, hogy a hibajavítások elkészülte előtt kihasználják az ismertetett sebezhetőségeket Windows operációs rendszereket futtató számítógépek támadására.

Felelőtlen hibabejelentők

A Microsoft válasza öt nappal a kínai Xfocus Team értesítése után érkezett, amely a karácsonyi ünnepek alatt jelezte, hogy három új sebezhetőséget talált a vállalat operációs rendszerében, és ezek kihasználására működő példákkal is szolgált.

A vállalat szóvivője elmondta, hogy már aktívan vizsgálják az Xfocus Team által felfedezett biztonsági réseket, amiket az vírusirtó szoftvereket gyártó Symantec is közzétett, bár ők állításuk szerint más forrásból értesültek a hibákról.

"A Microsoft csalódottságát fejezi ki azzal kapcsolatban, hogy az Xfocus lépésével a számítógépek felhasználóit [biztonsági] kockázatnak teszi ki azáltal, hogy nem követte az iparágszerte általánosan elfogadott gyakorlatot, miszerint minden biztonsági sebezhetőségről először az érintett vállalatot kell tájékoztatni [a nyilvánosság értesítése nélkül]" -- ismertette a vállalat álláspontját a szóvivő.

A vállalat szóvivője egyúttal megkérte a biztonsági kutatással foglalkozó magánszemélyeket is, hogy hasonló esetekben felelősségük tudatában, a bevett módszerek szerint járjanak el. Ezáltal az érintett vállalatok még időben megállapíthatják a bejelentések valóságtartalmát, veszélyességi fokát, és annak széles körű elterjedése előtt megelőző megoldásokat is kidolgozhatnak. Kiemelte, hogy az ügyfelek megfelelő tájékoztatását is ajánlott a vállalatra bízni.

Kritikus, még befoltozatlan biztonsági rések

Az első sebezhetőség a rendszer képkezelésével kapcsolatos, a másik kettő pedig a Windows súgó alrendszerében és az ANI (Animated Cursor Image Format) ellenőrzésében található. A Symantec szerint a Microsoft Windows API LoadImage függvénye nem kezeli megfelelően az egész számok túlcsordulását, és ez böngészőkkel és e-mail üzenetekkel ki is használható. Ezáltal egyszerű HTML oldalak megnyitásával komoly biztonsági sebezhetőségnek teheti ki magát bármely felhasználó.

A második, a Windows Kernel ANI File Parsing Crash and DoS Vulnerability névre hallgató hiba akár egyetlen kattintással is előidézhető. Egy szándékosan rosszul felépített ANI állomány segítségével DoS (Denial of Service, túlterhelés) támadások indíthatóak a védtelen rendszerek ellen.

Az eddig felsorolt sebezhetőségek a Windows-változatok széles körét érintik, beleértve a Windows NT, Windows 2000, Windows XP SP1 operációs rendszereket. A tájékoztatás szerint a Windows XP SP2 nem érintett sem az ANI, sem a LoadImage biztonsági rés kapcsán.

A harmadik kritikus sebezhetőség a Symantec közlése szerint a súgó állományok (.hlp) értelmezésének kódjában található. Egyes dekódolási hibák esetében buffertúlcsordulás lép fel, ami tetszőleges programkód futtatására is felhasználható. Ez utóbbi hiba a Windows XP SP2-ben is megtalálható, csakúgy, mint valamennyi korábbi Windowsban.

Még nincs közvetlen veszély

A Microsoft tájékoztatása szerint a kérdéses biztonsági rések kihasználásáról nincsen tudomásuk, bár azok megtörténte esetén sem jelentkezne azonnal gond az ügyfeleknél -- ezáltal nem zárható ki egy, a hibák kihasználása révén terjedő vírus, ami esetleg a felhasználók gépén lappang, és a megfelelő alkalomra vár, hogy később károkat okozhasson.

A Symantec a megelőzéshez azt javasolja, hogy a felhasználók ellenőrizzék, tartalmazza-e vírusdefiníciós fájljuk a Bloodhound.Exploit.19 bejegyzést, mivel így a víruskereső idejében figyelmeztethet, ha valaki a LoadImage sebezhetőséget ki akarná használni, valamint a hibajavítások megjelenéséig ugyancsak érdemes blokkolni a .hlp kiterjesztésű csatolt fájlokat tartalmazó leveleket, és kerülni kell az ismeretlen forrásból származó e-mail üzeneteket, weboldalakat. Ugyancsak javítja az esélyeket, ha a leveleket egyszerű szöveges formában olvassuk, nem HTML-ben.

"Vizsgálataink végeztével meg fogjuk tenni a szükséges lépéseket ügyfeleink védelmére, ami egy hibajavítás képében is jelentkezhet a havi rendszerességgel érkező hibajavításokkal együtt, vagy akár azoktól függetlenül, előtte -- mindez a vásárlók igényeitől függ majd" -- tette hozzá a szóvivő.

a címlapról