Több hónapos IE-sebezhetőséget foltoz be a Microsoft
Szerdán publikálta az Internet Explorerben talált sebezhetőség részleteit a HP érdekeltségébe tartozó Zero Day Initiative biztonsági kutatócsapata. A Microsoft egyelőre csak ígéretet tett a javításra.
A ZDI állítása szerint hosszú hónapokkal korábban, egy "bug bounty" program keretében szerzett tudomást az Internet Explorer böngésző kritikus sebezhetőségéről, amelyről felelősen értesítette is a Microsoftot. A redmondi vállalat ezidáig adós maradt a javítással, a ZDI pedig a múlt héten nyilvánosságra hozta a sérülékenységet, amely a CMarkup objektumok kezelésével kapcsolatos "use after free" támadásra ad lehetőséget. A "use after free" sebezhetőségekről a többé sajnos már nem frissített Buherablogon olvasható egy részletes, kétrészes (1, 2) bemutató.
A ZDI a publikált információk szerint tavaly októberben értesítette a Microsoftot a támadási lehetőségről, a redmondi cég pedig idén februárban megerősítette, hogy a sérülékenység reprodukálható, de javítást nem tett közzé. A Microsoft nem adott magyarázatot arra, miért nem készült még el a javítás, rövid közleményében mindössze azt írja, egyes patchek fejlesztése tovább tart mint másoké, a javításokat pedig tesztelni is kell különféle programokkal és eltérő konfigurációkon is. "Dolgozunk a probléma megoldásán és kiadjuk a biztonsági frissítést, ha elkészült, hogy segítsünk megvédeni az ügyfeleinket."
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
A vállalat hagyományosan minden hónap második keddjén adja ki biztonsági frissítéseit, a következő "patch kedd" június 10-én esedékes. A Microsoft nem közölte, erre az alkalomra időzíti-e a javítás kiadását, vagy esetleg soron kívül javítja a sérülékenységet. Utóbbi egyébként elég valószínűtlennek látszik egyelőre, mivel nincs információ arról, hogy a sebezhetőséget aktívan kihasználnák a támadók - a ZDI által publikált részletek nyomán azonban megindulhat az exploitok kutatása a Peter Van Eeckoutte belga szakértő által felfedezett sérülékenységre.
Egy sikeres támadáshoz a felhasználót egy preparált weboldalra kell irányítani, a lefutó kód pedig mindenféle interakció nélkül a bejelentkezett felhasználó jogosultságát adja a támadónak, aki aztán tetszőlegesen "garázdálkodhat", adatokat lophat vagy módosíthat például. A ZDI azt javasolja a patch érkezéséig az IE-felhasználóknak, hogy állítsák "magas" értékre az Internet Security Zóna biztonsági szintjét az ActiveX kontrollok és Active Scripting kordában tartására, kössék felhasználói jóváhagyáshoz az Active scriptek indulását vagy egyszerűen tiltsák le azokat, valamint telepítsék az Enhanced Mitigation Experience Toolkitet.
Kíváncsi vagy arra, milyen adminisztrátori hibák vezethetnek ahhoz, hogy apró figyelmetlenségből résből tátongó biztonság szakadék keletkezzen? És hogy milyen módszerekkel lehet ezeket elkerülni? Gyere el június 4-én a HWSW App!system konferenciára, ahol a Buherablog szerzője, Varga-Perke Bálint (Silent Signal Kft.) osztja meg a behatolástesztelés során szerzett tapasztalatait. A konferencia részletes programja és a regisztráció itt érhető el.