Úvod > Články > Microsoft o závažné bezpečností chybě možná ví už od roku 2007

Microsoft o závažné bezpečností chybě možná ví už od roku 2007

Kritická bezpečnostní díra ohrožuje uživatele Windows, potažmo Internet Exploreru. Záplata ještě neexistuje a možná ani delší dobu existovat nebude. Řada indicií však nasvědčuje tomu, že Microsoftu o nebezpečí ví minimálně rok a půl. Díru přitom již útočníci zneužívají k napadení počítačů.

Na počátku června jsme vás informovali, že Windows XP a Windows Server 2003 sužuje závažná bezpečnostní chyba, která útočníkům umožňuje převzít kompletní kontrolu nad napadeným systémem. Kritická zranitelnost se ukrývá v komponentě DirectX (přímo DirectShow) a útok probíhá přes „podstrčení“ a následné spuštění souboru ve formátu videa QuickTime. Díra přesto zůstává i nadále na svém místě, Microsoft záplatu stále nevydal. Pro dočasné řešení proto mohou uživatelé, kteří se případného útoku bojí, použít nástroj, který parsování QuickTime vypne: http://support.microsoft.com/kb/971778

V posledních dnech se i přes masová média, včetně televize, šíří zprávy o další kritické bezpečnostní zranitelnosti v produktu této firmy. V tomto případě jde o závažnou díru v prvku Video ActiveX Control, jež je součástí webového prohlížeče Internet Explorer.

Zranitelnost je to závažnější, že útočník k napadení systémů a k získaní kontroly vlastně ani moc nepotřebuje, aby s ním oběť nevědomky spolupracovala. Pro zneužití díry stačí, když uživatel přes Internet Explorer navštíví webovou stránku, jež v sobě skrývá škodlivý kód, jenž systém přes díru napadne. „Útočník, který by s úspěchem zneužil tuto zranitelnost, by mohl získat stejná práva jako lokální uživatel. Při použití Internet Exploreru je kód spuštěn vzdáleně a nemusí si žádat žádného zásahu uživatele,“ varuje Microsoft.

Microsoft záplatu na zranitelnost nemá, současné útoky, které této díry zneužívají, se proto označují jako přívlastkem „zero-day“. Jediné, co Microsoft teď uživatelům radí, je použít dočasné řešení a chybný ActiveX Control odstranit, aniž by mělo dojít k nějakým problém s kompatibilitou.

Zatím bylo zjištěno, že s úspěchem lze napadnout systémy Windows XP a Windows 2003 s Internet Explorerem verze 6 a 7, přesto však bezpečnostní experti z Microsoftu radí, aby dočasné řešení použili i uživatelé Windows Vista. Stejně jako v případě výše zmíněné zranitelnosti je dostupné dočasné řešení od Microsoftu na jeho webu: http://support.microsoft.com/kb/972890

Bohužel se však někteří nepředpokládají, že Microsoft záplatu vydá v dohledné době. Například Ryan Naraine z Kapersky Lab, známé společnosti vyvíjející software pro počítačovou bezpečnost, odhaduje, že díru se nepodaří zalepit dřív než za několik měsíců.

Věděl celou dobu Microsoft o zranitelnosti?

Že systémy Windows ohrožuje takto kritická zranitelnost, jež útočníkovi umožňuje převzít kontrolu nad počítačem prakticky bez větší interakce s uživatelem, je nepříjemné. Nepříjemnější je, že se opravdu může stát to, že se záplata neobjeví dříve než za pár měsíců (i když tohle je spekulace, byť od bezpečnostního experta). O to hůř ale vypadají zprávy o tom, že Microsoft o díře a jejich následcích ví už minimálně jeden a půl roku.

V článku o zranitelnosti Microsoft za objevení a nahlášení chyby děkuje Ryanu Smithovi a Alexu Wheelerovi z IBM ISS X-Force. Zmínění experti spolu v IBM dříve opravdu pracovali, ale Wheeler je nyní zaměstnancem 3Com (TippingPoint DVLabs).

Wheeler serveru Computerworld potvrdil, že společně se Smithem zranitelnosti objevili. Více zásluh nicméně připisuje Smithovi. Na otázku, kdy díru našli, ale odmítl odpovědět. „Na to bych raději neodpovídal,“ řekl a odkázal na laboratoř ISS X-Force spadající pod IBM. Důvodem je jeho smlouva o mlčenlivosti, jež se zranitelnosti týká a jíž v tehdy podepsal. Šalamounsky však řekl následující: „Dělali jsme na ni ještě před mým příchodem do TippingPointu.“ Tam nastoupil v lednu 2008. Tedy před rokem a půl...

O tom, že Microsoft o díře věděl před dlouhou dobou, svědčí i číslo zranitelnosti: CVE-2008-0015. Podle dostupné databáze bylo číslo zarezervováno 13. prosince 2007.

Laboratoř ISS X-Force na dotazy týkající se data nahlášení zranitelnosti ještě nereagovala, ale v pondělí oznámila, že její odborníci zjistili, že ji útočníci zneužívají přinejmenším od 9. června. V odpovídající knihovně msvidctl.dll navíc Robert Freeman ISS X-Force objevil ještě další díru.

Computerworld nepochodil ani u Microsoftu, který na otázky, kdy byla chyba nahlášena – zda to bylo na konci roku 2007 nebo 2008 – nebo proč díru neopravil, rovněž neodpověděl.

Přestože se k těmto otázkám nemůže Wheeler vyjádřit , neboť je vázán mlčenlivostí, k jiným věcem své řekl. Podle něj díra představuje velké bezpečnostní riziko. „Je relativně snadné ji zneužít,“ řekl. „Aby váš systém byl napaden, stačí navštívit (škodlivou) webovou stránku.“ Dále varuje, že ačkoliv kód pro zneužití díry ještě není moc rozšířený, je jen otázkou času, než jej zkopírují další.

I když Microsoft  na své stránce (na níž výše odkazujeme) připravil dočasné řešení problému spočívající ve vypnutí ActiveX Control, Wheeler lidem radí snadnější způsob, jak se před hrozbou ochránit: používat jiný webový prohlížeč. Firefox, Opera, Chrome ani Safari totiž technologii ActiveX nepotřebují a nepoužívají.

9. 7. 2009

Autor: Oldřich Klimánek

Sdílejte

Přečtěte si také

 

Mafra posiluje své postavení na realitním trhu

Vydavatelství Mafra rozšířilo své portfolio o společnost AdInternet. Česká firma se specializuje na prodej realit...

 

Elop končí v Microsoftu, co s ním bude teď?

Dvaapadesátiletý Stephen Elop opustil pozici výkonného viceprezidenta Devices & Services ve společnosti Microsoft...

 

Hlídejte si své účty před kyberútoky

Kyberloupeže a útoky na účty klientů bank v České republice během posledního roku rapidně stouply. Banky posilují...

Nejčtenější články

DSL internet nabídne rychlost připojení až 250 Mb/s

 

Společnost Česká telekomunikační infrastruktura (CETIN) zavádí technologii VDSL3, díky které nabídne v květnu vyšší...

Proč se na pořádný fotbal nepodíváte ani na ČT?

 

Britskou Premier League, Sky Bet Championship a španělskou ligu mohou čeští diváci sledovat pouze na Nové Digi TV a...

Rychlosti Wi-Fi internetu na DSL.cz v říjnu 2016

 

I v desátém měsíci roku 2016 jsme pro vás připravili zajímavé statistiky zaměřené na Wi-Fi providery. Z našeho...