Az ehavi Microsoft javítócsomag elég soványra sikerült - ez persze tulajdonképpen jó hírként értékelhető. A fontosabb foltok két alapvető szolgáltatást érintenek: a Microsoft XML Core Servicest, és az SMB protokollkezelőt.
Mindkét komponenssel kapcsolatban távoli kódfuttatásra alkalmas hibát fedeztek fel: Az XML értelmező hibája elsősorban speciális weboldalak és e-mailek segítségével használható ki; az SMB stack hibája az NTLM felhasználói adatainak kezelésében van, ez pedig alkalmat ad arra, hogy egy rosszindulatú fél által üzemeltetett SMB szerver olyan adatokat küldjön vissza a hozzá kapcsolódó felhasználóknak, amely kódfuttatást eredményez a kliens számítógépén a bejelentkezett felhasználó jogkörével. Utóbbira állítólag nyilvánosan elérhető exploit, én sajnos nem találtam meg.
Az összes támogatott Windows verzió érintett.
Frissítés: A ha.ckers.org XML Core Services-el kapcsolatosban adott hangot elégedettségének, az SVRD-n pedig az SMB hiba workaroundjairól olvashattok.
Frissítés 2: Most olvasom a ZDNet-en, hogy az SMB hibát már 2001-ben felfedezte a cDc-s Sir Dystic, az exploit pedig már 2007 júliusa óta elérhető a Metasploit keretrendszerben. A Microsoft azonban csak úgy tudta volna orvosolni a sebezhetőséget, hogy az kritikusan befolyásolta volna az SMB-re épülő alkalmazásokat, pl. az Outlook akkori változatait. A cég fejlesztőinek csak mostanra sikerült áthidaló megoldást találniuk a problémára. Azt hiszem ilyenkor szokás azt mondani: jobb később, mint soha...
P1ngW1n 2008.11.12. 12:11:48
www.milw0rm.com/exploits/6463
buherator · http://buhera.blog.hu 2008.11.12. 12:27:17
www.microsoft.com/technet/security/bulletin/ms08-068.mspx
CVE-2008-4037
Az exploithoz tartozó pedig ez:
secunia.com/advisories/31883/
CVE-2008-4114
Fordítva is működnek ha jól látom.
P1ngW1n 2008.11.12. 14:02:22
Ezen az oldalon meg pont ugyan az az exploit található, mint amit feljebb belinkeltem..
P1ngW1n 2008.11.12. 14:13:05
Exploit meg itt elérhető hozzá:
milw0rm.com/sploits/2008-ms08-067.zip