Złamano poprawkę FixIt dla IE, zrobiono jailbreak Windowsa RT, a Microsoft łata stare dziury

09-01-2013, 09:50

...w dodatku nie wszystkie. W styczniu gigant z Redmond wydał 7 biuletynów bezpieczeństwa - 2 krytyczne i 5 ważnych - które likwidują w sumie 12 luk.

Ciężko doszukać się logiki w działaniach Microsoftu. W poniedziałek media obiegła wiadomość o udanym jailbreaku Windowsa RT - sztuki tej dokonał haker o pseudonimie clrokr (szczegółowy opis pojawił się na jego blogu i w serwisie Reddit). W skrócie chodzi o to, że Windows RT nie pozwala użytkownikowi uruchamiać w trybie Desktop aplikacji innych niż dostarczone przez producenta. Kafelki nie wszystkim się jednak podobają, clrokr znalazł więc sposób na obejście trybu Modern. Co na to Microsoft? Pogratulował mu pomysłowości i zapewnił, że luki nie da się wykorzystać na szkodę użytkownika. Kiedy wyda poprawkę, nie wspomniał.

Powiecie, że się czepiam, że Microsoft nie miał czasu na załatanie dopiero co odkrytej luki, zresztą to dobrze, że można w Windowsie RT ominąć kafelki. W porządku. Czy ktoś może mi jednak powiedzieć, dlaczego nie usunął luk zgłoszonych wcześniej? W połowie grudnia informowaliśmy w Dzienniku Internautów o podatności, która umożliwia śledzenie ruchu kursora, jeżeli ofiara odwiedzi stronę ze specjalnie spreparowanym skryptem, używając dowolnej wersji Internet Explorera. Tak, błąd występuje w najnowszej „dziesiątce”, nie mówiąc już o „dziewiątce”. Nie, nie wiadomo, kiedy pojawi się łatka.

Załatania wymaga również luka w starszych wersjach IE, którą wykorzystano do zaatakowania użytkowników strony Council on Foreign Relations. Microsoft opublikował wprawdzie narzędzie FixIt, które miało tymczasowo naprawić tę podatność. Szkopuł w tym, że nie zapobiega ono wszystkim możliwościom ataku, o czym na początku tego tygodnia poinformował Brandon Edwards z Exodus Intelligence. Jak podaje ArsTechnica, atak na CFR został przygotowany przez Elderwood Gang, który w 2010 r. przełamał zabezpieczenia Google'a i 34 innych firm. Należy więc oczekić dalszego wykorzystania exploita. Przydałaby się pełnowartościowa aktualizacja, a tej wciąż nie ma.

A co jest? Przyjrzyjmy się po kolei świeżo opublikowanym poprawkom (klikając na grafikę, można zobaczyć jej powiększoną wersję w nowym oknie):

Styczniowe biuletyny bezpieczeństwa Microsoftu

Biuletyny krytyczne

Biuletyn MS13-001

Pierwszy z wydanych w tym miesiącu biuletynów, oznaczony jako krytyczny, usuwa lukę w usłudze buforu wydruku (Print Spooler). Może ona pozwolić na zdalne wykonanie kodu, jeżeli podatny serwer otrzyma specjalnie spreparowane zadanie drukowania. Błąd występuje w systemach Windows 7 i Windows Server 2008 R2.

(szczegółowe informacje)

Biuletyn MS13-002

Następny biuletyn usuwa dwie luki w zabezpieczeniach narzędzi Microsoft XML Core Services - na atak podatne są wersje 3.0, 4.0 i 6.0 zainstalowane w dowolnej wersji systemu Windows (łącznie z najnowszymi) oraz 5.0, która może być częścią oprogramowania Microsoft Office 2003 i 2007, Microsoft Word Viewer, Microsoft Office Compatibility Pack, Microsoft Expression Web, Microsoft SharePoint Server 2007 lub Microsoft Groove Server 2007. Obie luki pozwalają na zdalne wykonanie kodu, jeśli użytkownik otworzy specjalnie spreparowaną stronę internetową, używając przeglądarki Internet Explorer.

(szczegółowe informacje)

Biuletyny ważne

Biuletyn MS13-003

Ta z kolei aktualizacja dotyczy programu Microsoft System Center Configuration Manager 2007 R2 i usuwa dwie luki umożliwiające podniesienie uprawnień, jeżeli użytkownik odwiedzi przygotowaną przez atakującego stronę internetową, używając specjalnie spreparowanego adresu URL (atak typu XSS).

(szczegółowe informacje)

Biuletyn MS13-004

Ten natomiast biuletyn likwiduje cztery luki w środowisku .NET Framework, na atak podatne są wszystkie wydania zainstalowane w dowolnej wersji systemu Windows (łącznie z najnowszymi). Poważniejsze z usuwanych błędów pozwalają na podniesienie uprawnień - może do tego dojść, jeśli użytkownik wyświetli specjalnie spreparowaną stronę w przeglądarce obsługującej XBAP (XAML Browser Applications). Atakujący uzyska wówczas takie same uprawnienia, jak zalogowana do systemu ofiara.

(szczegółowe informacje)

Biuletyn MS13-005

Kolejny biuletyn usuwa lukę w zabezpieczeniach sterowników trybu jądra (Kernel-Mode Driver) w systemach Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 oraz Windows RT. Luka umożliwia podniesienie uprawnień z wykorzystaniem specjalnie spreparowanej aplikacji.

(szczegółowe informacje)

Biuletyn MS13-006

Następna aktualizacja usuwa lukę w implementacji protokołów SSL i TLS, która umożliwia obejście systemowych zabezpieczeń poprzez przejęcie szyfrowanych pakietów przez atakującego. Poprawkę powinni zainstalować użytkownicy systemów Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 oraz Windows RT.

(szczegółowe informacje)

Biuletyn MS13-007

Ostatni z wydanych styczniu biuletynów eliminuje lukę w protokole Open Data. Umożliwia ona przeprowadzenie ataku typu odmowa usługi (Denial of Service, DoS) z wykorzystaniem specjalnie spreparowanego wywołania HTTP do zainfekowanej strony internetowej. Poprawką powinni zainteresować się użytkownicy środowiska .NET Framework 3.5, 3.5.1 oraz 4 zainstalowanego w dowolnej wersji systemu Windows (łącznie z najnowszymi).

(szczegółowe informacje)

Zobacz także biuletyny bezpieczeństwa z poprzedniego miesiąca


Źródło: Microsoft, The Next Web, ZDNet, ArsTechnica
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy