Microsoft vedel o závažnej chybe animovaného kurzora už od decembra

DSL.sk, 2.4.2007

Spoločnosť Microsoft bola informovaná o extrémne kritickej bezpečnostnej chybe nachádzajúcej sa v spracúvaní súborov definujúcich animovaný kurzor vo Windows už od decembra 2006.

Chyba ale napriek tomu zostala až doteraz neopravená. Na konci minulého týždňa sa začala zneužívať na Internete a následne o nej informovalo viacero IT-bezpečnostných spoločností.

Potvrdilo sa tak, že spoločnosť Microsoft krátko po uvedení Windows Vista odkladala vydávanie bezpečnostných záplat.

Microsoft informoval, že na chybu ju upozornil Alexander Sotirov zo spoločnosti Determina už 20. decembra 2006.

Chyba sa nachádza v spracovaní súborov animovaných kurzorov, ktoré môžu web stránky alebo HTML emaily dočasne nastaviť pri kurzore nachádzajúcom sa nad nimi pri zobrazovaní.

Špeciálne upravený súbor animovaného kurzora zneužitím chyby spustí útočníkom zvolený kód a získa kontrolu nad PC.

K zneužitiu chyby stačí, ak užívateľ iba navštívi pomocou Internet Explorera 6.x alebo 7.x web stránku pripravenú útočníkom alebo si pozrie HTML email v niektorom z emailových programov Microsoftu využívajúcich zobrazovacie jadro IE.

Spoločnosť Secunia pridelila chybe piaty, maximálny, stupeň závažnosti.

Chyba sa nachádza vo všetkých Microsoftom podporovaných verziách Windows od Windows 2000 SP4 po Windows Vista. Na Windows Vista vďaka chránenému módu Internet Explorera 7 zatiaľ chyba nedokáže nainštalovať kód do systému a získať tak kontrolu nad PC.

Microsoft dnes informoval, že vzhľadom na čoraz častejšie a masívnejšie zneužívanie chyby vydá záplatu pre chybu už zajtra 3. apríla a nie v pôvodne plánovaný termín 10. apríla.

Microsoft odporúča do opravenia chyby minimálne deaktivovať prezeranie HTML emailov vo svojich emailových programoch.

V súčasnosti je k dispozícii aj neoficiálna open-source záplata od IT-bezpečnostnej spoločnosti eEye Research, ktorá nerieši priamo chybu ale zabraňuje načítavaniu animovaných kurzorov z iných súborov ako uložených v %SystemRoot% adresári a tak efektívne zabraňuje inštalovať svoj vlastný kurzor webovým stránkam.

Záplatu je možné sťahovať tu, pred inštalovaním oficiálnej záplaty od Microsoftu je ju potrebné odinštalovať pomocou dodávaného inštalátora.




Najnovšie články:



Diskusia:

asdfg Od: asdfg | Pridané: 2.4.2007 11:02 klasika, vedia o chybe, ale neopravia ju, aby sa Vista dobre predavala. Odpovedať Hodnotiť:

rch Od: rch | Pridané: 2.4.2007 11:23 Čo chceš, MS. Byť postihnutým zákazníkom, zažalujem ich za to, že o tom vedeli a povedzme sa mi preto zničili dáta. Vedome ľudí poškodzovali/poškodzujú! Odpovedať Známka: 10.0 Hodnotiť:

peto Od: peto | Pridané: 2.4.2007 20:04 Nejsu zodpovedni za ziadne skody..co necitas eula? Odpovedať Známka: 10.0 Hodnotiť:

rch Od: rch | Pridané: 3.4.2007 18:36 Práveže čítam, ale keď sa dokáže predbežný zlý úmysel (tzn, že napísali EULA v snahe poškodiť zákazníka), potom by sa mohlo dať niečo zbúchať... Odpovedať Známka: 10.0 Hodnotiť:

TheTOM.SK Od: TheTOM.SK | Pridané: 2.4.2007 11:26 PoC, t.j. Proof of concept - IE padne, FF nie: http://zert.isotf.org/ tests/testani.htm Odpovedať Známka: 10.0 Hodnotiť:

Uhlik Od: Uhlik | Pridané: 2.4.2007 19:04 trosku ma zaraza, ze nikde nepadla ani zmienka, ze chyba nepracuje v 64 bitovej verzii Internet Exploreru ... Vista x64 teda fachci bez problemov a bez rizika ... Odpovedať Hodnotiť:

Bozz Od: Bozz | Pridané: 3.4.2007 19:49 Ved aj 32 by mala fachcit spravne, je tam tiez IE7 Odpovedať Hodnotiť:

Uhlik Od: Uhlik | Pridané: 3.4.2007 21:38 to hej, ale 64 bitova ani nespadne ... Odpovedať Hodnotiť:

Bozz Od: Bozz | Pridané: 3.4.2007 22:14 mas to oskusane? Odpovedať Hodnotiť:

Kypko Od: Kypko | Pridané: 2.4.2007 11:57 Naco ju opravovat. Skoda pre nich casu a namahy. Ved VISTA ma aj tak tolko chyb ze jedna hore dole... Odpovedať Hodnotiť:

ggg Od: ggg | Pridané: 2.4.2007 12:10 mozno to je ich taktika, zachvilu budu chybove uz aj chyby a vsetko pojde perfektne :-D Odpovedať Hodnotiť:

:-D Od: :-D | Pridané: 2.4.2007 12:13 to, ze o tom vedeli a kaslali na to sa dalo aj cakat. samozrejme, ze zaplaty tak skoro vydavat nechcu, aby system vyzeral dokonalejsie, ale dojalo ma, ze vysla open-source zaplata a nie od MS :))) tak to je hanbaaaaa :D hoci zaplata nic neriesi, ale aspon docasne riesenie prislo a MS nespravilo ani len tu hroznu drobnost :D Odpovedať Hodnotiť:

Uhlik Od: Uhlik | Pridané: 2.4.2007 19:00 mylis si pojmy Patch a Workaround ... opensource nevysla zaplata, ale len utilitka, ktora brani otvoreniu suborov z ineho ako systemoveho umiestnenia ... to znamena, ze ked ten kurzor ulozis tam, tak ti aplikacia, ktora ho pouziva, aj tak padne (resp. spusti sa kod - zalezi od OS a stupna ochrany, ktory pouzivas) ... Odpovedať Hodnotiť:

K-NinetyNine Od: K-NinetyNine | Pridané: 2.4.2007 20:42 a ty asik nevies citat... on chcel povedat ze aj tuto malu utilitku museli vydat ini developeri ako open source, ze M$ sa nezmohol ani len na taku drobnost ako provizorne docasne riesenie... Odpovedať Hodnotiť:

yo3hi Od: yo3hi | Pridané: 2.4.2007 14:58 vsetci ste mudri a nadavate na microsoft a na windows a kazdy z vas ho ma .. nieste spokojny vymente... Odpovedať Hodnotiť:

K-NinetyNine Od: K-NinetyNine | Pridané: 2.4.2007 15:05 No teraz som zvedavy ky odbornik sem pride s klasickymi dristami ze "MS 4ever, Bill je king, Do toho Billy, Zachranme Billiho" :D som zvedavy na tie kydy az sem niekto prise sa zastavat MS :D Odpovedať Hodnotiť:

thriler Od: thriler | Pridané: 2.4.2007 15:16 Chcem sa zastat microsoftu. Je to skutocne obdivvuhodna firma. Ved uznajte ktora firma dava take obrovske ciastky na pomoc detom, venuje sa charitativnym skutkom a kazdodene su zamestnanci nuteny vyst von do ulic a zbierat odpadky. :-) Odpovedať Hodnotiť:

K-NinetyNine Od: K-NinetyNine | Pridané: 2.4.2007 20:43 :P mas bod ;) ale nie je velky ten co dava vela, velky je ten co dava vacsi podiel z toho co sam ma... ak da zobrak a bezdomovec na detske domovy 10 korun tak je u mna vacsi king jak Bill aj cele MS dokopy... Odpovedať Známka: 10.0 Hodnotiť:

qaws Od: qaws | Pridané: 2.4.2007 17:04 Mne to NOD identifikuje ako Troyan downloader.ani.gen trojsky kon, takze asi som aspon ciastocne chraneny aj bez zaplaty ;-). Odpovedať Známka: -3.3 Hodnotiť:

qaws Od: qaws | Pridané: 2.4.2007 17:15 Este som chcel povedat, ze to identifikuje pocas stahovania, takze to IE ani neotvori -> neprejavi sa chyba. Odpovedať Hodnotiť:

qaws Od: qaws | Pridané: 2.4.2007 17:17 Pre info mozete skusit stiahnut a pustit http://www.milw0rm.com/ sploits/04012007-Animated_Cursor_Exploit.zip - zmazat medzeru. Je tam webstranka a ani so zranitelnostou, malo by to pustit kalkulacku. V pripade, ze mate pc dobre chranene, nemalo by sa diat nic. Odpovedať Hodnotiť:

Uhlik Od: Uhlik | Pridané: 2.4.2007 19:05 nefunguje v IE 7 x64 ... Odpovedať Hodnotiť:

K-NinetyNine Od: K-NinetyNine | Pridané: 2.4.2007 20:46 Fajn, v x64 to nefunguje... MS, prepac co sme povedali... ved x32 nepouziva nikto... a zamyslel si sa nad tym ze to moze byt sposobene aj nekompatibilitou skodliveho kodu so x64 OS ? ze je mozne nieco take stvorit aj pre x64 ? asik ee ze... Odpovedať Hodnotiť:

Od: | Pridané: 2.4.2007 22:34 problém nie je ani v 32 bit. viste, IE7 len vyvesí oznam, že dačo nevykonal... Odpovedať Známka: 10.0 Hodnotiť:

K-NinetyNine Od: K-NinetyNine | Pridané: 3.4.2007 10:47 To je sice pekne ale stale to neriesi dany problem... Vista nie je jediny pouzivany OS od MS Odpovedať Hodnotiť:

Od: | Pridané: 3.4.2007 17:37 samozrejme, že nie, preto som vravel len o viste, kedže ty si vravel o nekompatibilite kódu so 64 bit. OS, tak ti vravím, že ten exploit je pri základnom nastavan takmer neškodný a vyžaduje sa aby ho užívateľ povolil... Odpovedať Hodnotiť:

Uhlik Od: Uhlik | Pridané: 3.4.2007 19:59 len som konstatoval ... nic viac som tym povedat nechcel ... samozrejme, ze sa to da urobit aj pre x64, ale je to asi tak pravdepodobne ako zneuzitie podobnej chyby na Linuxe alebo Macu ... btw. co je to x32 ? :D ... postuduj trochu historiu, lebo zjavne netusis, co to cislo za "x" znamena ... Odpovedať Známka: 10.0 Hodnotiť:

kanap Od: kanap | Pridané: 2.4.2007 21:19 Nod32 hlási infiltráciu, ani ma ďalej nepustí Odpovedať Hodnotiť:

xapoh Od: xapoh | Pridané: 2.4.2007 19:20 Mate pravdu, ved ako by sa uz predavala keby este pred uvedenim na trh povedali ze tam je extremen kriticka chyba?? ja mam nastastie Ubuntu tak ma to enstve.. ale je to nahderny priklad politiky Microsoftu.. a o tej charite? Presne toto chcu aby si ludia myleli aky su uzasny...zachvilku bude vista predavana so sloganom "Kup Vistu pomoz Afrike" alebo podobne veci.. Odpovedať Hodnotiť:

K-NinetyNine Od: K-NinetyNine | Pridané: 2.4.2007 20:47 To si radsej kupim africana a pomozem viste... stratit usera :P Odpovedať Hodnotiť:

xapoh Od: xapoh | Pridané: 2.4.2007 22:32 ked das africanom to co das za vistu dostanes DVD Ubuntu a jedna africka rodina ma prijem na rok.. Odpovedať Hodnotiť:

antimicrosoft Od: antimicrosoft | Pridané: 2.4.2007 19:53 fucking microsoft... Odpovedať Známka: 10.0 Hodnotiť:

patik Od: patik | Pridané: 3.4.2007 10:03 chlapci, najlepšie by bolo, keby už konečne linux definitívne pochoval software MS z nejakou perfektnou verziou OS Neviete či sa niečo chystá? Odpovedať Hodnotiť:

K-NinetyNine Od: K-NinetyNine | Pridané: 3.4.2007 10:50 asik si zaspal dobu, ono to uz je davno na svete, ale nie je to len linux ktory treba na uzemnenie MS... treba na to aj vyvojarov inych software, ktore by robili verzie aj pre linux a ine OS... Odpovedať Hodnotiť:

Uhlik Od: Uhlik | Pridané: 3.4.2007 20:02 perfektna verzia OS na baze Linuxu nikdy nevznikne, pretoze projekty na baze Linuxu su decentralizovane a s velmi nizkou urovnou riadenia ... kym sa na Linuxe vychytaju vsetky "muchy", ktore pre vacsi zaujem vyvojarov ma uz Windows davno vychytane, tak ubehnu desatrocia ... Odpovedať Známka: -10.0 Hodnotiť:

hry a vtipi na youtube Od: davidko+++++ | Pridané: 23.3.2008 17:31 škoda že na Linux nejdú hry napr. spellforce síce mám Win. 98 ale spellfore 2 už na 98 nejde. Radím Emulátor WINE ale každý [aspoň myslým že vie] že cez Emulator to trhá to len preto si chcem zobrať Vistu alebo Xp lebo aj Xp má menej chýb ako Vista tak to radšej vymeniť. mne Linux stačí apoň žiadný vírus... A kuknite si www.youtube.com do SEARCH dajte Vista installation a nájdite Vista Installation 2 minutes. skvelé ako to všetko zošrotuje šrotovačom... Ale jediná poriadná vec je Bočný Panel a pekný Vzhľad za to na Linuxe bočný panel... Odpovedať Hodnotiť:

Pridať komentár