Niesnaski wokół nowej luki w Windows

Niesnaski wokół nowej luki w Windows

Niesnaski wokół nowej luki w Windows
Źródło zdjęć: © Microsoft
14.06.2010 15:42, aktualizacja: 14.06.2010 16:18

Nowa luka bezpieczeństwa w Windows budzi spore emocje – i to nie tylko dlatego, że Tavis Ormandy poinformował o niej bez konsultacji z Microsoftem, ale także dlatego, że opublikowana przez niego poprawka rzekomo nie zapewnia pełnej ochrony.

Nowa luka bezpieczeństwa w Windows budzi spore emocje – i to nie tylko dlatego, że Tavis Ormandy poinformował o niej bez konsultacji z Microsoftem, ale także dlatego, że opublikowana przez niego poprawka rzekomo nie zapewnia pełnej ochrony.

Problem

Usterka znajduje się w Centrum pomocy technicznej Microsoftu i daje się ją wykorzystać do zdalnego zdyskredytowania komputera z Windows. Wystarczy do tego wywołanie zmanipulowanej strony WWW przy użyciu Internet Explorera.

Microsoft potwierdził obecność luki, która występuje tylko w Windows XP i Serverze 2003. Systemy Windows 7, Vista i Server 2008 są bezpieczne.

Rozwiązanie

Producent jest w trakcie badania problemu i jeśli zajdzie taka potrzeba, opublikuje łatę zamykającą lukę.

Obejście

W ramach ochrony koncern z Redmond zaleca wyłączenie wadliwej procedury przetwarzania adresów URL z prefiksem hcp://. W tym celu wystarczy po prostu wykasować program obsługujący protokół HCP.

Microsoft proponuje zrobić to za pośrednictwem pliku rejestru (.reg). Należy zatem utworzyć plik hcp.reg i wypełnić go następującą zawartością:

Windows Registry Editor Version 5.00
[-HKEYCLASSESROOT\HCP]

Następnie podwójnym kliknięciem wyłączyć procedurę przetwarzania dokumentów pomocy.

Opinie

Taki sam sposób postępowania zaleca firma Secunia, która po ponownym przeanalizowaniu luki doszła do wniosku, że Ormandy przeoczył kilka aspektów mogących wywołać błędy. Zdaniem Secunii poprawka przygotowana przez Ormandy'ego nie przewiduje wszystkich scenariuszy ataku. Ten przyjął bowiem, że funkcja MPC::HexToNum() przy wystąpieniu określonych błędów zwróci wartość Null zamiast 0xFFFFFFFF. Właśnie tę ostatnią daje się wykorzystać do oszukania używanego przez Centrum pomocy i opartego na białej liście mechanizmu weryfikacji pobieranych dokumentów.

Według Secunii zwrócenie wartości 0xFFFFFFFF można niestety sprowokować również przy braku błędów, czego efektem będzie nieskuteczność poprawki. Tak więc Secunia, podobnie jak Microsoft, odradza instalację tej (nieoficjalnej) łaty.

Ponadto Microsoft ma pretensje do Ormandy'ego o to, że opublikował raport zaledwie cztery dni po powiadomieniu koncernu o usterce. Było więc zbyt mało czasu, by odpowiednio zareagować. Zdaniem koncernu niedostateczna analiza Ormandy'ego i będąca jej efektem tylko połowicznie skuteczna poprawka stanowią dowód na to, że pełne zrozumienie problemu i stworzenie wypróbowanej łaty wymaga czasu. Co ciekawe, Microsoft kieruje swoje zarzuty zarówno bezpośrednio w stronę Ormandy'ego, jak i do koncernu Google, w którego zespole ds. bezpieczeństwa Ormandy pracuje.

Jednak Ormandy zajmuje się nie tylko analizowaniem usterek w Windows. W aktualnym raporcie bezpieczeństwa firmy Adobe jest on wymieniony jako znalazca dziewięciu luk w zabezpieczeniach Flash Playera.

Oprócz Microsoftu także niezależni specjaliści od zabezpieczeń są zdziwieni zachowaniem Ormandy’ego. Haker Robert Hansen (zwany też jako RSnake) w komentarzu dopytuje się, czy Google stosuje dwa różne standardy w praktykach Full Disclosure, ponieważ koncern z Mountain View jest raczej zwolennikiem odpowiedzialnego ujawniania (Responsible Disclosure). Tym niemniej Ormandy zauważył, że w tym przypadku działał na własny rachunek, a Google nie ma z tym nic wspólnego. W raporcie o błędach specjalista wyraża podziękowania między innymi dla Michała Zalewskiego, również należącego do ekipy bezpieczeństwa Google'a, za pomoc w stworzeniu exploita.

W ujawnionej na początku roku informacji o luce w Virtual DOS Machine Ormady także opublikował exploit, kiedy jeszcze Microsoft nie opracował jeszcze odpowiedniej łaty. Jednak wtedy gigant z Redmond miał wiele miesięcy na reakcję i usunięcie błędu.

wydanie internetowe www.heise-online.pl

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (19)