Extra '&' en Microsoft código de desarrollo dio a los hackers es decir explotar
Un par de investigadores alemanes, quienes analizaron una vulnerabilidad en Microsoft hizo control ActiveX llegó a la misma conclusión hace tres semanas.
"El error es simplemente una errata," Michael Howard, director de seguridad gerente de programa en Microsoft ingeniería de seguridad y comunicaciones del grupo, dijo en un post el martes a la del ciclo de vida de Desarrollo de Seguridad (SDL) blog. Howard, que es probablemente mejor conocido por co-autoría La escritura de Código de seguridad, llegó a decir que el error -- un errante carácter " & " -- es el "meollo de la cuestión" en el MSVidCtl control ActiveX.
Que de streaming de vídeo de control fue creado por Microsoft usando una versión modificada de una vieja edición de un código de "biblioteca", apodado Active Template Library (ATL), que Microsoft admitió el martes contenía múltiples vulnerabilidades. También el martes, Microsoft publicó un parche para Visual Studio el desarrollo de la empresa plataforma que contiene ATL. Los parches, sin embargo, no corregir automáticamente el software que se desarrolló con el buggy ATL. En su lugar, proveedores, Microsoft, así como de terceros firmas, debe utilizar la revisión de Visual Studio para compilar su código, con el fin de distribuir el nuevo software de seguridad para los usuarios.
Howard dijo que el error en la MSVidCtl control ActiveX se introdujo por una versión interna de ATL, no uno que estaba disponible para los desarrolladores externos.
Otros en Microsoft dibujó una línea directa entre el ATL error Howard descrito para el público explota los hackers han estado utilizando durante gran parte de este mes, incluyendo el coche por los ataques a cabo desde miles de sitios Web comprometidos.
"Este público explotar aprovechó el hecho de que MSVidCtl utiliza una versión modificada de encabezados ATL vulnerables", dijo Fermín de la Serna, un ingeniero en Seguridad de Microsoft Research Center (MSRC), en una entrada de blog anterior martes. "En este caso específico, la vulnerabilidad permite que un atacante alterar la memoria que pueden llevar a la ejecución remota de código", agregó la Serna.
El extra "&" había sido señalado con el dedo por un par de investigadores alemanes -- Thomas Dullien, el presidente y director de investigación en Zynamics GmbH, y Dennis Elser -- el 9 de julio, cuando el ex publicado sus hallazgos en un blog. El error, dijo Dullien, fue en ATL una función llamada "ATL::CComVariant::ReadFromStream."
La función que se llevó los dos investigadores a varios otros de Microsoft componentes de fabricación, incluyendo varios críticos importantes de las aplicaciones de Windows, como internet explorer, Windows Media Player y de Servicios de Terminal server. "El error es en realidad mucho" más profundo "que el de la mayoría de la gente se da cuenta", dijo Dullien en el momento en que, "[y] el bit de cierre de corrección es claramente insuficiente, ya que seguramente habrá muchas otras maneras de desencadenar el problema."
El "kill bit" revisión Dullien aludido fue uno de los que Microsoft había emitido en la forma de un stop-gap herramienta en 6 de julio de deshabilitar las deficiencias del control ActiveX. El 14 De Julio De Microsoft empujó la misma configuración del bit de cierre para los usuarios de Windows como una actualización en su reunión mensual de parche de día.
El martes, Microsoft reconoció que el bit de eliminación solución era insuficiente, porque de los errores en el ATL. En respuesta, también se ha actualizado es decir, que ahora intenta bloquear a los atacantes de la explotación de la ATL fallas en los controles ActiveX.
Howard no pidió disculpas por el error de programación. "Yo sostengo que esto sería muy difícil de detectar en una revisión de código, y no es detectado por el compilador C/C++", dijo. También dijo que Microsoft desarrollo de la práctica de la "fuzzing" código -- someter el software a una amplia gama de datos de entrada para ver si, y cuando, se rompe, no se captura el extra "&" debido a que el sistema automatizado de "ejecutores" de Microsoft utiliza ahora no están equipados para detectar este tipo de situaciones.
"Estamos en el proceso de agregar más heurística para nuestro fuzzing motor por lo que puede incluir estos COM-bytes si es necesario," dijo Howard.
El MSVidCtl control ActiveX todavía no ha sido parcheado, Mike Reavey, director de la MSRC, admitió en una entrevista el martes. "No ha sido actualizado, todavía estamos investigando" Reavey, dijo.
Cuando se le preguntó si los otros componentes de Windows, incluyendo aquellos Dullien y Elser mencionados, también tienen la errónea código ATL, Reavey, dijo Microsoft aún está examinando su propio software y no tenía nada que compartir públicamente. La doble capa de protección -- el bit de actualización desde hace dos semanas y ayer la actualización de IE, contribuiría a proteger a los usuarios contra todos los ataques conocidos, argumentó.
Microsoft publicó el martes de emergencia de las actualizaciones de Visual Studio y es decir, en parte porque los otros tres investigadores están programadas en el día de hoy para demostrar una manera para que los atacantes para eludir la compañía de bits de cierre de las defensas.
Autor: Keylogger.Org Equipo