Elkezdődött az idei BlackHat DC, és az ígéreteknek megfelelően tegnap Jorge Luis Alvarez Medina megtartotta azt az előadását, amelyben feltárta az Internet Explorer összes változatát érintő, illetéktelen távoli fájlhozzáférést biztosító hibahalmazának részleteit. A problémával kapcsolatban már írtam egy bejegyzést régebben, melyben a CORE-2008-0826 jelű problémát sejtettem a háttérben, mivel a nyilvánosságra került információmorzsák mindegyike beleillet a jelentsben leírt támadási folyamatra.

Mint kiderült, nem lőttem nagyon mellé: a Microsoft a fenti problémára ugyan kiadott egy javítást 2009 júniusában, de idő közben kiderült, hogy a Core Security egyik példakódja ennek ellenére is lefut egy korábban már javított IE8-on. A Microsoft álláspontja szerint a biztonsági szakértők a kérdéses kódban egy másik problémát használtak ki, melynek kihasználási módja a jelek szerint csak egy lépésben különbözik a 2008-as felfedezésétől.

A júniusi frissítésben védekezésként a Microsoft módosította az <object> tag viselkedését, amikor az a 127.0.0.1-ről betöltődő ismeretlen MIME típusú objektummal találkozik. Ha viszont az <object> taget JavaScriptből dinamikus DOM objektumként csapjuk hozzá a megjelenített weboldalhoz, a korlátozás nem érvényesül:

  <script language="Javascript">

                var obj = document.createElement("object");

                obj.data = "file://127.0.0.1/C$/.../index.dat";

                obj.type = "text/html";

                obj.id = "obj_results";

                obj.width = "500px";

                obj.height = "300px";

                document.body.appendChild(obj);

         </script>

A támadás többi rész megegyezik a korábbi sebezhetőségnél tárgyaltakkal, így vedlett át a CORE-2008-0826 CORE-2009-0625-vé. Az Internet Explorer összes támogatott változata érintett. Javítás egyelőre nincs, elkerülő megoldásokért a Microsoft figyelmeztetőjét érdemes olvasgatni.