HWSW

Gyorsjavítás az Internet Explorer 0-day sebezhetőségére

Néhány nappal a hiba napvilágra kerülése után gyorsjavítást adott ki az Internet Explorer foltozatlan, már támadott sebezhetőségére a Microsoft.

A hét végén derül fény egy 0-day, azaz javítatlan sebezhetőséget kihasználó támadásra, amely az Internet Explorer összes támogatott verzióját érintette - a Windows 8-cal együtt terjesztett IE10-ben a sérülékenység nincs jelen, azonban a korábbi változatokban (6, 7, 8, 9) kivétel nélkül megtalálható. Bár a Microsoft szerint csak kevés számú célzott támadást észleltek, a sebezhetőség szinte azonnal bekerült a bárki számára elérhető Metasploit keretrendszerbe, amely segítségével mindenki indíthat erre épülő támadásokat tetszőleges gép ellen.

A vállalat tudomására jutott támadások mindegyike a böngésző 32 bites verzióját vette célba és egy külső gyártótól származó beépülőt használt arra, hogy "heap sprayt" hajtson végre, vagyis a PC memóriájába juttassa a támadó kódot és/vagy megkerülje a Windows Vistában és Windows 7-ben már jelen levő DEP és ASLR védelmet - derül ki a Microsoft Security Research & Defense blogból [1], amely részletesen tárgyalja a sebezhetőséget, amellyel a Buherablog [2] is többször foglalkozott. Ínyencek egészen mélyreható elemzést olvashatna a hibáról angolul a Vulhunt blogban [3].

"A hiba akkor keletkezik, mikor a támadó az MSHTML modul execCommand() metódusával kiválasztja egy weboldal tartalmat, és regisztrál egy kezelő függvényt az "onselect" eseményre. Ilyenkor felszabadításra kerül egy objektum, melyet a modul rögtön meg is hivatkozik, így egy klasszikus use-after-free szituáció áll elő" - írja a sérülékenységről a Buherablog. Az IT-biztonsági blog szerint  a sebezhetőséget a Java 6-ra támaszkodva használták ki a támadók, a Java 7-re történő frissítés, vagy a plugin letiltása tehát blokkolja ezeket a támadásokat, azonban a sérülékenység más módon is kiaknázható, így a Java futtatókörnyezet tiltása vagy cseréje önmagában nem nyújt védelmet.

Nem csak ezt javítja pénteken a Microsoft

A támadások sikerességét megnehezítheti az Enhanced Mitigation Experience Toolkit (EMET) [4], ennek használata azonban a tapasztalatok szerint érezhetően lecsökkenti a böngésző sebességét, ráadásul nem minden felhasználónak van jogosultsága a telepítésre. A Microsoft által most kiadott gyorsjavítás ("FixIt") nem okoz sebességproblémákat és a böngésző viselkedését sem módosítja, egyetlen kattintással telepíthető és újraindítást sem igényel. Mindenkinek feltétlen ajánlott a telepítése, aki az Internet Explorer valamely érintett változatát használja.

xA redmondi cég azt ígéri, szeptember 21-én, azaz pénteken magyar idő szerint délután érkezik egy nagyobb frissítés az Internet Explorerhez, amelynek már a végleges patch is a részét képezi. Ez a Windows Update-en és a többi megszokott csatornán jut el a felhasználókhoz, ha valaki engedélyezte az automatikus frissítéseket, nincs további teendője, mivel a javítás automatikusan települni fog. Ebben a frissítésben további négy kritikus sebezhetőséget is javít a cég, olvasható a Microsoft Security Response Center blogban [5].

Az IE sebezhetőségre kiadott gyorsjavítás erről a linkről [6] tölthető le.

A cikkben hivatkozott linkek:
[1] http://blogs.technet.com/b/srd/archive/2012/09/19/more-information-on-security-advisory-2757760-s-fix-it.aspx
[2] http://buhera.blog.hu/2012/09/17/internet_explorer_0-day_szabadon
[3] http://blog.vulnhunt.com/index.php/2012/09/17/ie-execcommand-fuction-use-after-free-vulnerability-0day_en/
[4] http://www.microsoft.com/en-us/download/details.aspx?id=29851
[5] http://blogs.technet.com/b/msrc/archive/2012/09/19/internet-explorer-fix-it-available-now-security-update-scheduled-for-friday.aspx
[6] http://go.microsoft.com/?linkid=9817706
A cikk adatai:
//www.hwsw.hu/hirek/49082/microsoft-internet-explorer-biztonsag.html
Író: Bodnár Ádám (bodnar.adam kukac hwsw.hu)
Dátum: 2012. szeptember 20. 12:53
Rovat: vállalati it