 |
Problem
Problem w gruncie rzeczy nie jest nowy i polega na tym, że ustawienia stref bezpieczeństwa w Internet Explorerze nie zawsze działają, jeżeli informacja o ścieżce w przeglądarce jest podawana w formacie UNC (Uniform Naming Convention, UNC), np. \\127.0.0.1\ścieżka\nazwa_pliku. W ten sposób JavaScript ze strefy internetowej w pewnych okolicznościach może sięgnąć do pliku zapisanego lokalnie, mimo że model stref nie powinien na to pozwalać. Szczegółowe informacje na temat tej luki Medina zamierza przedstawić dopiero 3 lutego podczas konferencji Black Hat.
Firma Core Security znalazła już dwie takie luki i zgłosiła je Microsoftowi w roku 2008 i 2009 (pierwsza i druga), po czym dla każdej z nich przygotowano aktualizację. Do tej pory Microsoft wprowadzał tylko ograniczone poprawki zamiast zająć się właściwym problemem. Tymczasem istnieją także inne sposoby na podważenie modelu stref. Jak twierdzi Medina, są one bardzo trudne do zablokowania, albowiem chodzi w nich o podstawowe funkcje przeglądarki, dzięki którym może ona bez problemów współpracować z innymi programami.
Z całą pewnością problem dotyczy wszystkich wersji Internet Explorera od 6 aż po 8 na wszystkich wersjach Windows – w tym także Windows 7. Microsoft jest już podobno poinformowany o tym problemie i pracuje wspólnie z Core Security nad jego rozwiązaniem. Na razie nie ma doniesień o skutecznych atakach dokonywanych za pomocą tej luki. Ani Medina, ani Microsoft nie mają też w zanadrzu propozycji, które mogłyby przed nią chronić.
Nie dalej jak w ubiegłym tygodniu Microsoft musiał łatać krytyczną lukę w swojej przeglądarce, za pomocą której najprawdopodobniej chińscy crackerzy skutecznie włamali się do Google'a, Adobe i innych amerykańskich przedsiębiorstw.
Obejście
Użytkownicy IE powinni zastanowić się nad przejściem na alternatywą przeglądarkę. Do wyboru jest Chrome, Firefox i Opera. Wprawdzie także i w tych browserach stale pojawiają się krytyczne luki w zabezpieczeniach – zwłaszcza w Firefoksie programiści często muszą poprawiać krytyczne błędy – ale za to dla tych aplikacji prawie w ogóle nie pojawiają się exploity typu Zero Day. Poza tym cyberprzestępcy w dalszym ciągu skupiają się na Internet Explorerze jako celu ataków. Ale wraz z coraz większymi udziałami Firefoksa na rynku przeglądarek także i ten program może się znaleźć pod ostrzałem.
