Badacz z Google'a znalazł niebezpieczną lukę w Windows. Microsoft niezadowolony

Tavis Ormandy, specjalizujący się w bezpieczeństwie IT badacz Google, opublikował na łamach listy dyskusyjnej Full Disclosure szczegółowe informacje na temat nowo odkrytych luk w systemach Windows XP i Server 2003.

Problem dotyczy centrum pomocy i wsparcia technicznego Microsoftu. Jest to aplikacja przeglądarkowa, którą uruchamia się jak zwykły program. Treści są jednak pobierane z Internetu. Wykorzystywany jest w tym celu microsoftowy protokół HCP (prefiks hcp://)

W Windowsie XP SP2 wprowadzono zasadę, że aplikacja uruchamiana z parametrem /fromhcp może uzyskiwać dostęp wyłącznie do stron WWW znajdujących się na specjalnej białej liście. Ormandy doszedł do tego, jak obejść białą listę i załadować dowolny serwis.

Skutkiem tego jest możliwość wykonania z prawami zalogowanego użytkownika dowolnego kodu umieszczonego na zewnętrznej witrynie. Microsoft został ostrzeżony o tym zagrożeniu 5 czerwca br. Pięć dni później Ormandy uznał, że Redmond miało już dość czasu na reakcję i opublikował dokładne informacje o ataku, wraz z gotowymi exploitami, na łamach listy Full Disclosure.

Redmond publicznie skrytykowało pracownika Google za tak szybkie ujawnienie tej informacji. Ormandy tłumaczy, że przygotował własną, tymczasową łatkę. Firma Secunia twierdzi jednak, że nie eliminuje ona całkowicie opisanego przez eksperta problemu. Oficjalna aktualizacja pojawi się najwcześniej za miesiąc – Microsoft dopiero co wydał nowe biuletyny bezpieczeństwa.

Redmond od razu skorzystało z okazji i zaatakowało Google. Stwierdziło, że jej konkurent „dopuścił do wycieku informacji związanych z luką w Windows Help Center”. Ormandy mocno obstawał jednak przy swoim, krytykując Microsoft za korzystanie z HCP i argumentując, że jak najszybsze podanie do publicznej wiadomości informacji o luce jest kluczowe dla społeczności IT.

Finalnie jednak pracownik Google'a uznał część argumentów Microsoftu i przyznał, że źle wybrał moment ujawnienia. Nie zmienia to faktu, że użytkownicy XP i Windows Servera 2003 są teraz wyjątkowo podatni na atak z Sieci.

Źródło: pcmag.com, seclists.org/fulldisclosure

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

7 skomentuj »

Komentarze

#1 Onuks 2010-06-11 13:58:51 -1
a przykładowy atak można zobaczyć tutaj... http://www.hcsl.pl/2010/06/nowa-luka-umozliwia-zdalne-przejecie.html Pokaż komentarz
IP: 85.14.102.[...] Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2)
#2 morfis^® 2010-06-11 21:54:44 0
Ha ha ha

MS rulez !!!
IP: 95.49.154.[...] Mozilla/5.0 (X11; U; Linux x86_64; pl-PL; rv:1.9.1.9) Gecko/20100317 SUSE/3.5.9-0.1.1 Firefox/3.5.9
#3 Shamar 2010-06-12 00:19:17 0
Wstępnie to sobie przetestowałem. Wygląda na to, że wyłączenie usługi pomocy i wsparcia w services.msc pozwala zatrzymać atak. Opcja z usunięciem gałęzi rejestru wydaje mi się jednak najrozsądniejsza. Nieoceniony jest też "no script" w FF - a to do wstępnego ostrzegania. Niestety IE , Operze i Chrome brakuje dobrego blokera skryptów, albo ja nie miałem cierpliwości żeby szukać ;)
IP: 89.77.175.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 ( .NET CLR 3.5.30729)
#4 Kocurro 2010-06-12 08:02:53 0
IE od początku (a przynajmniej od wersji 5.5) ma w opcjach możliwość wyłączenia JS'a dla wybranych witryn.
IP: 212.191.78.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.70 Safari/533.4
#5 markoa 2010-06-12 11:05:01 0
'Oficjalna aktualizacja pojawi się najwcześniej za miesiąc – Microsoft dopiero co wydał nowe biuletyny bezpieczeństwa.'

microsoft...
IP: 85.219.196.[...] Opera/9.80 (Windows NT 6.1; U; pl) Presto/2.5.24 Version/10.53
#6 Shamar 2010-06-12 20:35:07 0
@Kocurro

No tak, ale musisz wstępnie określić o jakie witryny ci chodzi, "no script" w FF blokuje wszystko i daje ci komfort decydowania co chcesz uruchomić, a zanim sobie uruchomisz możesz na spokojnie przeanalizować poszcególne elementy. Możesz sobie więc wchodzić gdzie chcesz (bez zbytniej przesady). Tego w IE nie ma, a wielka szkoda.
IP: 89.77.175.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 ( .NET CLR 3.5.30729)
#7 Sceptyk 2010-06-13 11:00:51 0
Sposób w jaki ujawnił Tavis Ormandy informacje o luce (wraz z exploitem), utwierdza tylko w przekonaniu, że Google nie miało na celu ochrony użytkowników wymienionych systemów, a "jedynie" dopiec Microsoftowi.

To przykra nowina dla użytkowników Google, Facebookerów i innych internetowych ekshibicjonistów.
IP: 87.207.91.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.70 Safari/533.4

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.