This is a machine translation. The original page (in English) is available here.
Windows
Mac OS
Mobile

Dernières nouvelles: 19 septembre 2016 - Nous avons ajouté de nouvelles catégories pour le suivi des tests de produits: Microphone et la Webcam Enregistrement, etc... Flux RSS

Accueil>news du Monde>Extra '&' dans Microsoft code de développement a donné les pirates IE exploiter

AnyKeylogger pour Mac

Extra '&' dans Microsoft code de développement a donné les pirates IE exploiter

Hier Microsoft a confirmé qu'un seul caractère superflu dans son propre code de développement est responsable de la bogue qui a permis à des pirates d'exploiter Internet Explorer (IE) depuis le début de juillet.

Une paire de chercheurs allemands qui ont analysé une vulnérabilité dans Microsoft fait le contrôle ActiveX est arrivé à la même conclusion il y a trois semaines.

"Le bug est tout simplement une faute de frappe," Michael Howard, l'un des principaux responsable des programmes de sécurité dans Microsoft de l'ingénierie de sécurité et le groupe de communication, a déclaré dans un post du mardi au Développement de la Sécurité du Cycle de vie (SDL) blog. Howard, qui est probablement mieux connu pour la co-créationÉcriture de Code Sécurisé, a poursuivi en disant que la faute, un errant caractère " & " -- est la "question fondamentale" dans la MSVidCtl contrôle ActiveX.

Que de vidéos en streaming de contrôle a été créé par Microsoft en utilisant une version modifiée d'une édition plus ancienne de un code "bibliothèque", surnommé ATL (Active Template Library), que Microsoft a admis mardi contenaient de multiples vulnérabilités. Aussi, mardi, Microsoft patché Visual Studio la société , de la plate-forme de développement qui contient ATL. Ces patchs, cependant, ne sont pas automatiquement le correctif logiciel qui a été développé à l'aide de la boghei ATL. Au lieu de cela, les fournisseurs -- Microsoft comme ceux des tiers ainsi que les entreprises, qui doivent utiliser le patché Visual Studio pour recompiler leur code, puis de distribuer les nouvelles, des logiciels sécurisés pour les utilisateurs.

Howard a dit que le bug dans le MSVidCtl contrôle ActiveX a été introduit par une version interne de l'ATL, pas un seul, qui était disponible pour les développeurs extérieurs.

D'autres chez Microsoft, a attiré une ligne directe entre l'ATL bug Howard décrit au public les exploits des pirates ont été à l'aide de beaucoup de ce mois-ci, y compris la voiture par les attaques menées à partir de milliers de sites Web compromis.

"Ce public exploiter profité du fait que MSVidCtl utilise une version modifiée de l'ATL vulnérable en-têtes", a déclaré Fermin Serna, ingénieur dans la Sécurité de Microsoft Research Center (MSRC), dans un billet de blog plus tôt mardi. "Dans ce cas précis, la vulnérabilité permet à un attaquant de corruption de la mémoire qui peut conduire à une exécution de code à distance", a ajouté la Serna.

Le "&" avait été pointé du doigt par une paire de chercheurs allemands -- Thomas Dullien, le chef de la direction et responsable de la recherche à Zynamics GmbH, et Dennis Elser -- le 9 juillet, quand l'ex-publié leurs conclusions dans un billet de blog. L'erreur, dit Dullien, était dans un ATL fonction appelée "ATL::CComVariant::ReadFromStream."

Cette fonction conduit les deux chercheurs de plusieurs Microsoft a d'autres éléments, y compris plusieurs critiques à d'importantes applications Windows, tels que IE, Windows Media Player et des Services Terminal server. "Le bug est en fait beaucoup" plus loin " que la plupart des gens à réaliser," a dit Dullien à l'époque, "[et] les kill bits correctif est clairement insuffisant, car il y a certainement beaucoup d'autres façons de déclencher le problème."

Le "kill bit" fix Dullien fait allusion a été l'un que Microsoft avait publié sous la forme d'un stop-gap outil le 6 juillet pour désactiver l'imparfait contrôle ActiveX. Le 14 Juillet, Microsoftpoussé le même kill-bit paramètres pour les utilisateurs de Windows comme une mise à jour sur son mensuel régulier jour du patch.

Mardi, Microsoft a reconnu que le " kill-bit solution est insuffisant car des bugs dans ATL. En réponse, il a également mis à jour IE, qui tente maintenant de bloquer les attaquants de l'exploitation de l'ATL failles dans les contrôles ActiveX.

Howard n'a pas à s'excuser pour l'erreur de programmation. "Je pense que ce serait très difficile à repérer dans la revue de code, et n'est pas repris par le compilateur C/C++," dit-il. Il a également dit que Microsoft est le développement de la pratique de la "fuzzing" code -- de soumettre le logiciel à un large éventail de données d'entrée pour voir si, et où, de casse-ne pas attraper le "&" parce que le système automatisé de "fuzzer" Microsoft utilise maintenant ne sont pas équipés pour détecter de telles situations.

"Nous sommes dans le processus d'ajout de plus heuristiques à notre moteur de fuzzing de sorte qu'il peut inclure l'une de ces COM-les octets spécifiques si nécessaire", Howard a dit.

Le MSVidCtl contrôle ActiveX n'a toujours pas été corrigé, Mike Reavey, directeur de la MSRC, a admis dans une interview mardi. "Il n'a pas été mis à jour, nous sommes toujours en train d'enquêter," Reavey dit.

Lorsqu'on a demandé si d'autres composants de Windows, y compris ceux Dullien et Elser, liste, ont également les conclusions de l'ATL code, Reavey, a déclaré Microsoft est toujours à l'examen de son propre logiciel et n'avait rien à partager publiquement. La double couche de protection, le bit de mise à jour d'il y a deux semaines et hier IE à jour, à protéger les utilisateurs contre toutes les attaques connues, at-il soutenu.

Microsoft a publié mardi urgence de mises à jour de Visual Studio et IE en partie parce que les trois autres chercheurs sont prévus plus tard aujourd'hui pour démontrer d'une manière pour que les attaquants de contournement de la société kill-bit défenses.
Accueil>news du Monde>Extra '&' dans Microsoft code de développement a donné les pirates IE exploiter
IMPORTANT! L'installation de l'ordinateur à des outils de surveillance sur les ordinateurs que vous ne possédez pas ou n'avez pas la permission de suivre peuvent violer locales, de l'état ou la loi fédérale.
Suggest translation