Krytyczne luki w wielu aplikacjach sieciowych

SecurityReason opublikował zestaw not bezpieczeństwa dla popularnych programów komunikacyjnych. Wszystkie znalezione w nich luki mają związek z odkrytą w maju poważną usterką w funkcji gdtoa()/dtoa() pochodzącej z różnych implementacji standardowej biblioteki języka C.

Jednocześnie zespół zajmujący się tymi problemami postanowił nie polegać na zapewnieniach amerykańskiego CERT-u o tym, że powiadomi on producentów oprogramowania, w którym znaleziono błędy, i na własną rękę opublikował stosowne dokumenty. Decyzja ta spowodowana jest wcześniejszym niedopatrzeniem ze strony US-CERT-u – amerykański ośrodek najpierw nie przekazał Mozilli komunikatu SecurityReason dotyczącego pierwotnego błędu, który znalazł Maksymilian Arciemowicz. Mozilla Foundation jakiś czas po tym zdarzeniu sama uzupełniła wydany przez siebie komunikat bezpieczeństwa o stosowny wpis. Poza tym US-CERT nie poinformował o znalezionych przez specjalistów (Maksymiliana Arciemowicza i osoby ukrywającej się pod pseudonimem sp3x) usterkach także innych producentów oprogramowania, w związku z czym błędy nie mogły być szybko naprawione.

Przyczyną problemów jest możliwość wystąpienia błędu polegającego na przekroczeniu zakresu tablicy, co może pozwolić na zdalne wstrzyknięcie dowolnego kodu do podatnej na występowanie usterki aplikacji. Potencjalny napastnik może przekazać do wywołań odpowiednio spreparowane łańcuchy formatujące i/lub liczby, które sprawią, że podczas przetwarzania danych nastąpi wskazanie na przestrzeń poza tablicą, co w efekcie pozwoli intruzowi wpływać na zawartość rejestru esi i częściowo edi. W rezultacie można zmusić aplikację operującą na zewnętrznych danych do awaryjnego zakończenia pracy, a nawet do wykonania dowolnego kodu.

Google Chrome

Poza Mozillą oficjalną notę potwierdzającą prawdziwą przyczynę błędu opublikował również zespół Google'a odpowiedzialny za bezpieczeństwo przeglądarki Chrome.

Usterką tą dotknięty jest również interpreter języka Perl wchodzący w skład najnowszego wydania systemu Mac OS X: Snow Leoparda. Można to sprawdzić, wywołując interpreter tak jak to zaprezentowano w naszym komunikacie sprzed kilku miesięcy. Warto zaznaczyć, że nie jest to problem interpretera, ale pochodzącej z systemu OpenBSD biblioteki, więc podatne mogą być również inne programy.

Wydanie 1.1.1. i wersje wcześniejsze tego popularnego pakietu komunikacyjnego są podatne na występowanie błędu. Potencjalny intruz może wykorzystać lukę, używając odpowiednio skonstruowanego skryptu JavaScript. W efekcie możliwe jest awaryjne przerwanie pracy programu, a w sprzyjających warunkach przemycenie i wykonanie dowolnego kodu.

Wydanie 1.5.3 tego bazującego na silniku Gecko browsera jest również podatne na zdalne wykonywanie dowolnego kodu. Podobnie jak w przypadku pakietu SeaMonkey warunkiem wystarczającym jest skonstruowanie odpowiednio spreparowanego skryptu JavaScript.

W wydaniu KDELibs 4.3.3 –. bibliotek dla środowiska KDE – znaleziono usterkę, która pozwala przemycać i wykonywać dowolny kod, posługując się odpowiednio spreparowanym skryptem JavaScript przesyłanym przeglądarce Konqueror. Przyczyna usterki tkwi w pliku dtoa.cpp, który korzysta z wadliwej implementacji wspomnianej wcześniej funkcji dtoa().

Wydanie 10.0. Opery jest podatne na występowanie błędu. Odpowiednio spreparowany skrypt jest w stanie zmusić przeglądarkę do awaryjnego zakończenia pracy, a w sprzyjających warunkach nawet do wykonania dowolnego kodu.

• Dla Firefoksa pojawiły się już stosowne aktualizacje.
• W przypadku pakietu SeaMonkey wersja 2.0 jest wolna od usterek.
• Przeglądarka Opera 10.10 jest wolna od występowania omawianego błędu.
• Na poprawki dla pozostałych aplikacji należy poczekać.