Extra '&' in der Microsoft-Entwicklung code gegeben Hacker IE nutzen
Microsoft hat gestern bestätigt, dass eine einzige überflüssige Zeichen in die eigene Entwicklung-code ist für den bug verantwortlich, der hat sich die Hacker nutzen, von Internet Explorer (IE) seit Anfang Juli.
Ein paar Deutsche Wissenschaftler, die analysiert eine Sicherheitsanfälligkeit in einem Microsoft-made-ActiveX-Steuerelement zu derselben Schlussfolgerung kam vor drei Wochen.
"Der bug ist einfach ein Tippfehler," Michael Howard, principal security program manager in Microsofts security engineering und communications group, sagte in einem Beitrag Dienstag auf der Security Development Lifecycle (SDL) blog. Howard, der ist wahrscheinlich am besten bekannt für co-authoring Writing Secure Code, ging auf zu sagen, dass die typo -- eine fehlgeleitete "& - Zeichen " -- ist die "Kern-Frage" im ActiveX-control MSVidCtl.
Das video-streaming-Steuerung wurde von Microsoft mit einer modifizierten version einer älteren Ausgabe der Codes "Bibliothek" genannt Active Template Library (ATL) Microsoft räumte am Dienstag enthielt mehrere Schwachstellen. Auch am Dienstag, Microsoft gepatcht Visual Studio,, die Entwicklung des Unternehmens-Plattform, enthält ATL. Diese patches werden jedoch nicht automatisch reparieren software wurde entwickelt, mit der buggy ATL. Stattdessen Anbieter-Microsoft-sowie Drittanbieter-Unternehmen -- verwenden müssen, die gepatcht Visual Studio zu kompilieren Sie Ihren code, dann verteilen Sie die neue, sichere software zu erleichtern.
Howard sagte, dass der Fehler im ActiveX-control MSVidCtl wurde durch eine interne version der ATL, nicht eine, die zur Verfügung Stand, um externen Entwicklern.
Andere bei Microsoft zog eine direkte Linie zwischen der ATL-bug Howard beschrieben, um die öffentlichen exploits, Hackern wurden mit für viel von diesem Monat, einschließlich drive-by-Angriffe , durchgeführt von tausenden von kompromittierten Web-sites.
"Diese öffentliche exploit nutzten die Tatsache, dass MSVidCtl verwendet eine modifizierte version der anfälligen ATL-Headern," sagte Fermin Serna, ein Ingenieur in der Microsoft Security Research Center (MSRC), in einem blog-post von vorhin Dienstag. "In diesem speziellen Fall die Sicherheitsanfälligkeit ermöglicht es einem Angreifer, der Speicher beschädigt werden, was dazu führen kann, eine remote-code-Ausführung" Hinzugefügt Serna.
Mit dem extra "&" wurde befingert, von ein paar Deutsche Forscher -- Thomas Dullien, Geschäftsführer und head of research bei Zynamics GmbH, und Dennis Elser -- am 9. Juli, als der ehemalige stellten Ihre Ergebnisse in einem blog-post. Der Fehler, sagte Dullien, wurde in einem ATL-Funktion namens "ATL::CComVariant::ReadFromStream."
Diese Funktion führte die beiden Forscher an mehreren anderen Microsoft-Komponenten, einschließlich mehrerer Kritischer zu wichtigen Windows-Anwendungen, wie IE, Windows Media Player und Terminal Services. "Der Fehler ist eigentlich viel "tiefer" als die meisten Menschen realisieren", sagte Dullien an der Zeit, "[und] das kill-bit-Update ist offensichtlich nicht ausreichend, da gibt es bestimmt noch viele andere Möglichkeiten der Auslösung des Problems."
Das "kill bit" Update Dullien angedeutet, war einer, der hatte Microsoft die in form eines stop-Lücke-tool am 6. Juli, um deaktivieren Sie das fehlerhafte ActiveX-control. Am Juli 14, Microsoft schob den gleichen kill-bit-Einstellungen , um Windows-Nutzern ein update auf seiner regulären monatlichen patch-day.
Am Dienstag, Microsoft hat bestätigt, dass das kill-bit-Lösung nicht ausreichend war, weil der Fehler in ATL. In der Antwort, es wurde auch aktualisiert, DH, der nun versucht zu blockieren, Angreifer aus der Ausbeutung der ATL Schwachstellen in ActiveX-Steuerelemente.
Howard nicht zu entschuldigen für die Fehler bei der Programmierung. "Ich behaupte, dass dies sehr schwierig sein würde, sofort in einem code-review, und nicht Abholung durch den C/C++ - compiler", sagte er. Er sagte auch, dass Microsoft die Entwicklung der Praxis des sogenannten "fuzzing" - code -- unterwirft software, um eine Breite Palette von input-Daten, um zu sehen, ob, und wo es bricht -- nicht fangen extra"&", da die automatisierte "Fuzzer" Microsoft nutzt jetzt nicht ausgestattet zu erkennen solcher Situationen.
"Wir sind in den Prozess des Hinzufügens mehr Heuristik, um unsere fuzzing-engine, so kann es diese COM-spezifischen bytes, wenn nötig", sagte Howard.
Das ActiveX-control MSVidCtl wurde noch nicht gepatcht, Mike Reavey, Direktor des MSRC, gab in einem interview am Dienstag. "Es wurde noch nicht aktualisiert, wir sind immer noch untersucht," Reavey sagte.
Wenn Sie gefragt werden, ob andere Windows-Komponenten, einschließlich derjenigen, die Dullien und Elser aufgeführt ist, haben auch die fehlerhafte ATL-code, Reavey, sagte Microsoft ist immer noch die Prüfung der eigenen software und hatte nichts zu teilen öffentlich. Die double-layer-Schutz -- die kill-bit-update von vor zwei Wochen und gestern das IE-update -- schützen den Benutzer gegen alle derzeit bekannten Angriffe, argumentierte er.
Microsoft hat am Dienstag Notfall-updates zu Visual Studio und DH in Teil, weil drei andere Forscher sind geplant, später heute, um zu demonstrieren, einen Weg für Angreifer umgehen die Firma kill-bit-Abwehr.
Datum der Veröffentlichung: Ein paar Deutsche Wissenschaftler, die analysiert eine Sicherheitsanfälligkeit in einem Microsoft-made-ActiveX-Steuerelement zu derselben Schlussfolgerung kam vor drei Wochen.
"Der bug ist einfach ein Tippfehler," Michael Howard, principal security program manager in Microsofts security engineering und communications group, sagte in einem Beitrag Dienstag auf der Security Development Lifecycle (SDL) blog. Howard, der ist wahrscheinlich am besten bekannt für co-authoring Writing Secure Code, ging auf zu sagen, dass die typo -- eine fehlgeleitete "& - Zeichen " -- ist die "Kern-Frage" im ActiveX-control MSVidCtl.
Das video-streaming-Steuerung wurde von Microsoft mit einer modifizierten version einer älteren Ausgabe der Codes "Bibliothek" genannt Active Template Library (ATL) Microsoft räumte am Dienstag enthielt mehrere Schwachstellen. Auch am Dienstag, Microsoft gepatcht Visual Studio,, die Entwicklung des Unternehmens-Plattform, enthält ATL. Diese patches werden jedoch nicht automatisch reparieren software wurde entwickelt, mit der buggy ATL. Stattdessen Anbieter-Microsoft-sowie Drittanbieter-Unternehmen -- verwenden müssen, die gepatcht Visual Studio zu kompilieren Sie Ihren code, dann verteilen Sie die neue, sichere software zu erleichtern.
Howard sagte, dass der Fehler im ActiveX-control MSVidCtl wurde durch eine interne version der ATL, nicht eine, die zur Verfügung Stand, um externen Entwicklern.
Andere bei Microsoft zog eine direkte Linie zwischen der ATL-bug Howard beschrieben, um die öffentlichen exploits, Hackern wurden mit für viel von diesem Monat, einschließlich drive-by-Angriffe , durchgeführt von tausenden von kompromittierten Web-sites.
"Diese öffentliche exploit nutzten die Tatsache, dass MSVidCtl verwendet eine modifizierte version der anfälligen ATL-Headern," sagte Fermin Serna, ein Ingenieur in der Microsoft Security Research Center (MSRC), in einem blog-post von vorhin Dienstag. "In diesem speziellen Fall die Sicherheitsanfälligkeit ermöglicht es einem Angreifer, der Speicher beschädigt werden, was dazu führen kann, eine remote-code-Ausführung" Hinzugefügt Serna.
Mit dem extra "&" wurde befingert, von ein paar Deutsche Forscher -- Thomas Dullien, Geschäftsführer und head of research bei Zynamics GmbH, und Dennis Elser -- am 9. Juli, als der ehemalige stellten Ihre Ergebnisse in einem blog-post. Der Fehler, sagte Dullien, wurde in einem ATL-Funktion namens "ATL::CComVariant::ReadFromStream."
Diese Funktion führte die beiden Forscher an mehreren anderen Microsoft-Komponenten, einschließlich mehrerer Kritischer zu wichtigen Windows-Anwendungen, wie IE, Windows Media Player und Terminal Services. "Der Fehler ist eigentlich viel "tiefer" als die meisten Menschen realisieren", sagte Dullien an der Zeit, "[und] das kill-bit-Update ist offensichtlich nicht ausreichend, da gibt es bestimmt noch viele andere Möglichkeiten der Auslösung des Problems."
Das "kill bit" Update Dullien angedeutet, war einer, der hatte Microsoft die in form eines stop-Lücke-tool am 6. Juli, um deaktivieren Sie das fehlerhafte ActiveX-control. Am Juli 14, Microsoft schob den gleichen kill-bit-Einstellungen , um Windows-Nutzern ein update auf seiner regulären monatlichen patch-day.
Am Dienstag, Microsoft hat bestätigt, dass das kill-bit-Lösung nicht ausreichend war, weil der Fehler in ATL. In der Antwort, es wurde auch aktualisiert, DH, der nun versucht zu blockieren, Angreifer aus der Ausbeutung der ATL Schwachstellen in ActiveX-Steuerelemente.
Howard nicht zu entschuldigen für die Fehler bei der Programmierung. "Ich behaupte, dass dies sehr schwierig sein würde, sofort in einem code-review, und nicht Abholung durch den C/C++ - compiler", sagte er. Er sagte auch, dass Microsoft die Entwicklung der Praxis des sogenannten "fuzzing" - code -- unterwirft software, um eine Breite Palette von input-Daten, um zu sehen, ob, und wo es bricht -- nicht fangen extra"&", da die automatisierte "Fuzzer" Microsoft nutzt jetzt nicht ausgestattet zu erkennen solcher Situationen.
"Wir sind in den Prozess des Hinzufügens mehr Heuristik, um unsere fuzzing-engine, so kann es diese COM-spezifischen bytes, wenn nötig", sagte Howard.
Das ActiveX-control MSVidCtl wurde noch nicht gepatcht, Mike Reavey, Direktor des MSRC, gab in einem interview am Dienstag. "Es wurde noch nicht aktualisiert, wir sind immer noch untersucht," Reavey sagte.
Wenn Sie gefragt werden, ob andere Windows-Komponenten, einschließlich derjenigen, die Dullien und Elser aufgeführt ist, haben auch die fehlerhafte ATL-code, Reavey, sagte Microsoft ist immer noch die Prüfung der eigenen software und hatte nichts zu teilen öffentlich. Die double-layer-Schutz -- die kill-bit-update von vor zwei Wochen und gestern das IE-update -- schützen den Benutzer gegen alle derzeit bekannten Angriffe, argumentierte er.
Microsoft hat am Dienstag Notfall-updates zu Visual Studio und DH in Teil, weil drei andere Forscher sind geplant, später heute, um zu demonstrieren, einen Weg für Angreifer umgehen die Firma kill-bit-Abwehr.
Autor: Keylogger.Org Team
