Kolejny 0-day dla Internet Explorera: uważajcie na system pomocy

Microsoft potwierdził, że w Internet Explorerze działającym w systemie Windows XP znajduje się poważna luka bezpieczeństwa, która przy pewnej dozie sprytu u napastnika może pozwolić mu na uruchomienie dowolnego kodu i przejęcie kontroli nad systemem.

Problem związany jest z VBScriptem: funkcja MsgBox ma prawo pobierać dowolne pliki pomocy (.hlp) i wykonywać polecenia zawarte w nich jako makro. Nie dzieje się to w pełni automatycznie – użytkownik musi wcisnąć wcześniej klawisz F1. Dla upartego cyberprzestępcy to jednak nie problem, może stworzyć witrynę, informującą internautów o konieczności wciśnięcia takiego przycisku.

Lukę odkrył 1 lutego br. Maurycy Prodeus z isec.pl – jako że producent oprogramowania nie załatał jej, zdecydował się po miesiącu publicznie ujawnić problem. Przygotowany przez niego exploit pozwala na uruchomienie w Internet Explorerze 7 i 8 na Windows XP (także SP3) programu kalkulatora. Działające exploity muszą, jak pisze odkrywca, mieć dostęp do udziałów SMB napastnika, co w pewnym stopniu chroni użytkowników za firmowymi zaporami sieciowymi.

Dodatkowo Prodeus znalazł w systemie pomocy winhlp32.exe błąd przepełnienia bufora, który można wywołać poprzez podanie zbyt długiego parametru dla pliku pomocy. Na szczęście flagi wykorzystane przy kompilacji tego systemu uniemożliwiają skuteczny atak tą drogą.

Więcej informacji na ten temat w dokumencie dostępnym pod URL isec.pl/vulnerabilities/isec-0027-msgbox-helpfile-ie.txt.

Źródło: isec.pl

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

10 skomentuj »

Komentarze

#1 osceola 2010-03-02 18:13:15 0
Ciekawe, czy autor tego, co powyżej, notkę na przykład o dziurze w kernelu 2.4 (z 2001 roku) nazwałby "Uwaga na Linuksa!"? Czy może byłby nieco bardziej precyzyjny? ;)
IP: 217.98.20.[...] Mozilla/5.0 (iPhone; U; CPU iPhone OS 3_0 like Mac OS X; en-us) AppleWebKit/528.18 (KHTML, like Gecko) Version/4.0 Mobile/7A341 Safari/528.16
#2 eimi^® 2010-03-02 18:57:37 0
Przecież ta notka nie nazywa się "OMG uwaga na Windows dzieci ci pomrą jak włączą Internet Explorera". Proponuję przeczytać informacje z MSRT http://blogs.technet.com/msrc/archive/2010/02/28/investigating-a-new-win32hlp-and-internet-explorer-issue.aspx i zobaczyć, że oni też się koncentrują na systemie pomocy Windows.
IP: 95.160.206.[...] Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2) Gecko/20100213 Firefox/3.6
#3 osceola 2010-03-02 19:57:45 0
Konkretnie:

Vulnerability in VBScript Could Allow Remote Code Execution

http://www.microsoft.com/technet/security/advisory/981169.mspx

Rzecz generalnie w tym, że choć XP nadal jest używany na wielu komputerach, to jest to już starawy system, po którym nastąpiły już dwie kolejne wersje. Utożsamianie więc Windows = XP jest nieuprawnione.

(Nie mówiąc już o tym, że w Viście i W7 pliku winhlp32.exe fizycznie nie ma. Czego, jako miłośnik Linuksa, zapewne Pan nie wie, ale to już inna historia).
IP: 217.98.20.[...] Mozilla/5.0 (iPhone; U; CPU iPhone OS 3_0 like Mac OS X; en-us) AppleWebKit/528.18 (KHTML, like Gecko) Version/4.0 Mobile/7A341 Safari/528.16
#4 slawek22 2010-03-02 21:03:59 0
Przecież ten news nie jest o jakimś tam starym kernelu którego prawie nikt nie używa tylko o najpopularniejszym OS microsoftu z "najlepszą" wersją megawypasionej (podobno) przeglądarki ms :P

Zobacz sobie na ranking gemiusa. WinXp = 70%.

A tam mamy staty kernela 2.4:

http://counter.li.org/reports/systemstats.php

> Utożsamianie więc Windows = XP jest nieuprawnione.

Czyli utożsamianie z czym jest "uprawnione"? Z Win7 którego używa co 6 osoba? To, że ms wydaje nowy system nie znaczy, że każdy od razu wyrzuci w błoto 4 stówki i kupi nowy sprzęt, tylko po to, żeby mieć ładniejsze ikony :P
IP: 83.4.54.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.0.249.89 Safari/532.5
#5 osceola 2010-03-02 22:24:36 0
slawek22, znowu chcesz wszystkim udowadniać, że Windows 7 wybił ci pół rodziny? Przecież to już wiemy... ;)
IP: 217.98.20.[...] Mozilla/5.0 (iPhone; U; CPU iPhone OS 3_0 like Mac OS X; en-us) AppleWebKit/528.18 (KHTML, like Gecko) Version/4.0 Mobile/7A341 Safari/528.16
#6 slawek22 2010-03-03 02:16:41 0
E tam. Typowy troll na krytykę reagujesz tak, że jeśli ktoś wytknie ci ewidentny błąd w rozumowaniu to zmieniasz temat i odwracasz kota ogonem.
IP: 83.4.54.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.0.249.89 Safari/532.5
#7 eimi^® 2010-03-03 07:22:40 0
@osceola: Twoje zarzuty są wyssane w tym wypadku z palca. W żadnym momencie tej notki nie ma utożsamienia Windows = Windows XP.

"Microsoft potwierdził, że w Internet Explorerze działającym w

systemie Windows XP znajduje się poważna luka bezpieczeństwa".

Można by powiedzieć, że pisanie o exploitach na IE to pastwienie się nad MS. Obiecujemy, że gdy popularność IE spadnie poniżej 5%, nie będziemy już o tym pisać :>.
IP: 95.160.206.[...] Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2) Gecko/20100213 Firefox/3.6
#8 osceola 2010-03-03 10:25:27 0
eimi: jest utożsamienie, w tytule notki. Tytułowe zdanie jest nieprawdą w przypadku IE działającego np. w W7 i kilku innych systemach. Nieprawda dotyczy jednak Microsoftu, więc wg Pana, normy rzetelności dziennikarskiej zostały zachowane. Gratuluję (niezmiennie) dobrego samopoczucia.

slawek2: z ceną Windows 7 to oczywiście ja wyskoczyłem jak filip z konopi. Przepraszam, że jestem nawiedzonym kretynem. Ja, nie ty. Oczywiście.
IP: 217.98.20.[...] Mozilla/5.0 (iPhone; U; CPU iPhone OS 3_0 like Mac OS X; en-us) AppleWebKit/528.18 (KHTML, like Gecko) Version/4.0 Mobile/7A341 Safari/528.16
#9 eimi^® 2010-03-03 10:49:14 0
@osceola: tytuł notki brzmi: Kolejny 0-day dla Internet Explorera. Uważajcie na system pomocy. Wiele serwisów napisało o tym w stylu OMG Microsoft mówi byście nie naciskali F1. I tak zatem jest to dość spokojny, umiarkowany tytuł.

Z konieczności tytuły notek to skrótowce. Nie ma miejsca na rozpisywanie się w nich. Czasem warto wziąć gwizdek i wypuścić trochę pary. To nie jest kwestia życia i śmierci, to tylko exploit do umiarkowanie w Polsce popularnej przeglądarki na najbardziej popularnej w Polsce wersji Windows.
IP: 95.160.206.[...] Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2) Gecko/20100213 Firefox/3.6
#10 slawek22 2010-03-04 16:48:27 0
To jeszcze raz. Co ci przeszkadza tytuł notki? XP masz na >70% PCtów, więc Windows = XP. Tak samo jak Firefox = FF3 albo Opera = O10.

> jest utożsamienie, w tytule notki.

W drugim zdaniu notki masz pełną nazwa systemu.

>Przepraszam, że jestem nawiedzonym kretynem.

No z tym to mogę się zgodzić. Jako jedyny w tej dyskusji na dźwięk słowa Windows reagujesz tak jakby ktoś dał ci po twarzy :P Zero argumentów tylko idiotyczne osobiste wycieczki.

>slawek2: z ceną Windows 7 to oczywiście ja

>wyskoczyłem jak filip z konopi.

Tego już nie rozumiem. Po prostu W7 to nie jest darmowy update. Doprecyzuj więc z czym znowu masz problem.
IP: 83.22.181.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.0.249.89 Safari/532.5

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.