Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Rendkívüli Microsoft javítások érkeztek [Frissítve]

2009.07.29. 10:25 | buherator | Szólj hozzá!

A Microsoft tegnap rendkívüli frissítéseket adott ki az Internet Explorerhez valamint a Visual Studio Active Template Library-jéhez. A két javítócsomag igen összetett hibákat orvosol, és egymást kiegészítve igyekszik mélyreható védelmi mechanizmusokat bevezetni.

A Microsoft szakemberei példamutató módon számolnak be az általuk felfedezett sebezhetőségekről, és bár őszintén szólva így reggelire kicsit már megfeküdte a gyomromat ez az információtömeg, azért megpróbálok egy rövid áttekintést nyújtani a szóban forgó problémákkal kapcsolatban:

Az Active Template Library (ATL) egy C++ osztálygyűjtemény, amely lehetővé teszi a Visual Studio felhasználói számára, hogy egyszerűen hozzanak létre többek között COM objektumokat, pl. ActiveX vezérlőket is. Ezeket az objektumokat később különböző szkriptnyelvekben, tipikusan Internet Explorerből meghívva használhatjuk fel.

Mint kiderült, az ATL különböző osztályait három sebezhetőség súlytja, melyek közül kettő kódfuttatást tesz lehetővé, ráadásul a sebezhető ActiveX objektumok kiiktatására szolgáló killbit mechanizmus is megkerülhető egyikük kihasználásával (tehát a kártékony kód akkor is lefut, ha a sebezhető objektum használatát letiltottuk!).

Mivel alapvető programkomponensekről van szó, az ATL-t használó fejlesztőknek felül kell vizsgálniuk eddigi kódjaikat. Ha kiderül, hogy a fejlesztett szoftver sebezhető, a javított ATL-lel történő újrafordításra, vagy a sebezhető kódrészek átírására van szükség a felhasználók védelme érdekében.

Mivel az összes egyedi fejlesztésű komponens átvizsgálása gyakorlatilag lehetetlen, a második javítócsomag a lehetséges támadások elsőszámú táptalajának számító Internet Explorerben vezet be (többek között) az ATL sebezhetőségeire irányuló támadásokkal szembeni megelőző intézkedéseket.

Az ATL konkrét sebezhetőségeiről, valamint arról, hogy a Microsoft szakembereinek miért nem sikerül eddig rájuk akadniuk, kiváló posztot olvashattok a cég Security Development Lifecycle blogjában. Mint kiderült, az egyik stack overflowt például egy egyszerű elírás okozza, melyet az automatikus ellenőrző eszközök azért nem jeleztek, mert a kasztolás (ezt így írják magyarul?) "azt a benyomást kelti" az analizátorban, hogy a fejlesztő tudja mit csinál, ezért a további jajveszékelés úgyis csak hamis pozitívokat eredményezne a teszt eredményében.

Bár a teljes, javításokkal kapcsolatos cikktenger átolvasása nem sétegalopp, én azért mindenkit arra bíztatnék, hogy vágjon bele a feladatba! Ritkán lehet találkozni ennyire tanulságos, és jól kommunikált esetekkel, le a kalappal a MS biztonsági csapata előtt!

Frissítés: A Cisco több termékét is érinti a sebezhetőség, javítások egyelőre nincsenek.

Frissítés 2: Az Adobe Shockwave és Flash Player is érintett, amennyiben Internet Exploreres beépülőként használjuk őket (mivel csak itt jönnek szóba az ActiveX vezérlők). Előbbi szoftverhez elérhető frissítés.

A Verzion Business készített egy tesztfelületet, mellyel ellenőrizhető a különböző beépülők érintettsége

Címkék: microsoft patch internet explorer cisco visual studio active template library

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása