Szerző: Bizó Dániel

2008. március 28. 14:56

A Microsoft három éve tudott a legújabb Windows sebezhetőségről, mégsem foltozta

Évek óta ismert sebezhetőséget nem foltozott be a Microsoft a Windowsok egyik komponensében, pedig a javítást már kidolgozta, és a Vistát például már a hibával nem rendelkező verzióval szállítja. A Windows beépített adatbázis motorjaként több mint másfél évtizede szolgáló Jet Database Engine egyik sebezhetőségét kihasználva a támadók tetszőleges parancsot futtathatnak le a rendszeren egy MDB fájl segítségével.

[HWSW] Évek óta ismert sebezhetőséget nem foltozott be a Microsoft a Windowsok egyik komponensében, pedig a javítást már kidolgozta, és a Vistát például már a hibával nem rendelkező verzióval szállítja. A Windows beépített adatbázis motorjaként több mint másfél évtizede szolgáló Jet Database Engine egyik sebezhetőségét kihasználva a támadók tetszőleges parancsot futtathatnak le a rendszeren egy MDB fájl segítségével.

A Microsoft Security Response Center csapata múlt hét pénteken ismertette a támadási lehetőséget. Amint arról hétfőn beszámoltunk, az Access és Visual Basic, valamint Visual C++ adatbázis hátterét biztosító Jet dokumentált oszlopkezelése (oszlopszám túlcsordulás) olyan dokumentált sebezhetőséget teremt, mely lehetővé teszi a támadónak tetszőleges kód futtatását a rendszeren a felhasználó jogosultságán. Az egyik példatámadás például a számológépet indítja el.

Komplexitásukból fakadóan szoftverek sebezhetősége önmagában még nem nagy újdonság, a Microsoft azonban azzal borzolta fel némileg a kedélyeket, hogy közölte, a hibát 2005 márciusa óta ismerik, ráadásul a Vista, a Server 2003 SP2 és az áprilisban megjelenő Windows XP SP3 már a Jet egy javított változatával érkezik, mely már nem támadható ezzel a módszerrel. Az indoklás szerint nem tartották szükségesnek a frissítés közzétételét, ugyanis az MDB fájlok alapértelmezetten tiltólistások, így az Exchange és az Outlook, de az Internet Explorer is szűri ezeket.

A most felszínre került támadási módszerrel szemben a Microsoft által korábban kidolgozott védelem, mely a támadási lehetőséget igyekezte felszámolni, hatástalan. A támadás ugyanis nemcsak MDB formátumú fájlba, hanem Word dokumentumba ágyazva is érkezhet, pontosabban kettőbe, és a felhasználónak elegendő egyet megnyitnia. A Microsoft hétfőn közölte, hogy még vizsgálja lehetőségeit, hogyan szüntesse meg a támadhatóságot -- akadályozza meg a Wordöt abban, hogy MDB tartalmú fájlokat nyisson meg, vagy tegye széles körben hozzáférhetővé a hibamentes Jet DLL-t.

A sérülékenységgel a Jet 4.0.9505.0 vagy régebbi verziói rendelkeznek, a redmondi cég jelenleg azt is vizsgálja, vajon a Word mellett más alkalmazásokkal is kihasználható-e a sérülékenység, de egyelőre csak preparált Word-dokumentumokon alapuló támadásokról érkeztek jelentések. A szoftvergyártó azt javasolja, hogy azokon a rendszereken, ahol nincs szükség Access vagy Visual Basic futtatására, kapcsolják ki a Jetet.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról