Дополнительный '&' в коде разработки Microsoft дал хакерам IE exploit
Microsoft вчера подтвердила, что один лишний символ в ее собственном коде разработки ответственен за ошибку, которая позволила хакерам использовать Internet Explorer (IE) с начала июля.
Пара немецких исследователей, проанализировавших уязвимость в элементе управления ActiveX, сделанном Microsoft, пришла к такому же выводу три недели назад.
"Ошибка-это просто опечатка", - сказал Майкл Говард, главный менеджер программ безопасности в группе Microsoft security engineering and communications group, опубликовав во вторник сообщение в блоге Security Development Lifecycle (SDL). Говард, который, вероятно, наиболее известен своим соавторством Написав безопасный код, он продолжил говорить, что опечатка-ошибочный символ " & " - это "основная проблема" в элементе управления ActiveX MSVidCtl.
Этот элемент управления потоковой передачей видео был создан корпорацией Майкрософт с использованием модифицированной версии более старой версии кодовой "библиотеки", получившей название Active Template Library (ATL), которая, как признала Корпорация Майкрософт во вторник, содержала несколько уязвимостей. Также во вторник Microsoft исправила Visual Studio, платформа разработки компании, содержащая ATL. Эти патчи, однако, не исправляют автоматически программное обеспечение, разработанное с использованием багги ATL. Вместо этого поставщики-Microsoft, а также сторонние фирмы-должны использовать исправленную Visual Studio для перекомпиляции своего кода, а затем распространять новое безопасное программное обеспечение среди пользователей.
Говард сказал, что ошибка в элементе управления ActiveX MSVidCtl была введена внутренней версией ATL, а не той, которая была доступна внешним разработчикам.
Другие сотрудники Microsoft провели прямую линию между ошибкой ATL, описанной Говардом, и публичными эксплойтами, которые хакеры использовали в течение большей части этого месяца, включая атаки drive-by, проводимые с тысяч скомпрометированных веб-сайтов.
"Этот публичный эксплойт воспользовался тем фактом, что MSVidCtl использует модифицированную версию уязвимых заголовков ATL", - сказал Фермин Серна, инженер из Исследовательского центра Microsoft Security Research Center (MSRC), в своем блоге ранее во вторник. "В данном конкретном случае уязвимость позволяет злоумышленнику повредить память, что может привести к удаленному выполнению кода", - добавил Серна.
Лишнее " & " было замечено парой немецких исследователей-Томасом Дуллиеном, генеральным директором и руководителем исследований Zynamics GmbH, и Деннисом Эльзером-9 июля, когда первый опубликовал свои выводы в блоге. Ошибка, сказал Даллиен, заключалась в функции ATL под названием "ATL::CComVariant::ReadFromStream."
Эта функция привела двух исследователей к нескольким другим компонентам Microsoft, включая несколько критически важных для важных приложений Windows, таких как IE, Проигрыватель Windows Media и терминальные службы. "Ошибка на самом деле гораздо" глубже", чем большинство людей понимают,-сказал тогда Дуллиен, - и исправление убийственного бита явно недостаточно, поскольку должно быть много других способов вызвать эту проблему."
Исправление" kill-bit", о котором упоминал Дуллиен, было выпущено Microsoft в виде инструмента stop-gap 6 июля, чтобы отключить дефектный элемент управления ActiveX. 14 Июля, Microsoft отправил те же самые настройки kill-bit пользователям Windows в качестве обновления в свой обычный ежемесячный день исправлений.
Во вторник Microsoft признала, что решение kill-bit было недостаточным из-за ошибок в ATL. В ответ он также обновил IE, который теперь пытается заблокировать злоумышленников от использования недостатков ATL в элементах управления ActiveX.
Говард не стал извиняться за ошибку в программировании. "Я утверждаю, что это было бы очень трудно обнаружить в обзоре кода, и это не подхватывается компилятором C/C++", - сказал он. Он также сказал, что практика разработки Microsoft "размазывания" кода-подвергая программное обеспечение широкому диапазону ввода данных, чтобы увидеть, если и где он ломается-не поймала дополнительное"&", потому что автоматизированные "размазчики", которые Microsoft теперь использует, не оснащены для обнаружения таких ситуаций.
"Мы находимся в процессе добавления дополнительных эвристик к нашему движку fuzzing, чтобы он мог включать эти специфические для COM байты, если это необходимо",-сказал Говард.
Элемент управления ActiveX MSVidCtl до сих пор не исправлен, признал во вторник в интервью директор MSRC Майк Риви. - Он не был обновлен, мы все еще ведем расследование, - сказал Риви.
Когда его спросили, имеют ли другие компоненты Windows, в том числе перечисленные Dullien и Elser, также дефектный код ATL, Риви сказал, что Microsoft все еще изучает свое собственное программное обеспечение и не имеет ничего общего публично. Двойной уровень защиты-обновление kill bit двухнедельной давности и вчерашнее обновление IE-защитит пользователей от всех известных в настоящее время атак, утверждал он.
Microsoft выпустила во вторник экстренные обновления для Visual Studio и IE отчасти потому, что три других исследователя запланированы позже сегодня, чтобы продемонстрировать способ для злоумышленников обойти защиту компании kill-bit.
Дата публикации: Пара немецких исследователей, проанализировавших уязвимость в элементе управления ActiveX, сделанном Microsoft, пришла к такому же выводу три недели назад.
"Ошибка-это просто опечатка", - сказал Майкл Говард, главный менеджер программ безопасности в группе Microsoft security engineering and communications group, опубликовав во вторник сообщение в блоге Security Development Lifecycle (SDL). Говард, который, вероятно, наиболее известен своим соавторством Написав безопасный код, он продолжил говорить, что опечатка-ошибочный символ " & " - это "основная проблема" в элементе управления ActiveX MSVidCtl.
Этот элемент управления потоковой передачей видео был создан корпорацией Майкрософт с использованием модифицированной версии более старой версии кодовой "библиотеки", получившей название Active Template Library (ATL), которая, как признала Корпорация Майкрософт во вторник, содержала несколько уязвимостей. Также во вторник Microsoft исправила Visual Studio, платформа разработки компании, содержащая ATL. Эти патчи, однако, не исправляют автоматически программное обеспечение, разработанное с использованием багги ATL. Вместо этого поставщики-Microsoft, а также сторонние фирмы-должны использовать исправленную Visual Studio для перекомпиляции своего кода, а затем распространять новое безопасное программное обеспечение среди пользователей.
Говард сказал, что ошибка в элементе управления ActiveX MSVidCtl была введена внутренней версией ATL, а не той, которая была доступна внешним разработчикам.
Другие сотрудники Microsoft провели прямую линию между ошибкой ATL, описанной Говардом, и публичными эксплойтами, которые хакеры использовали в течение большей части этого месяца, включая атаки drive-by, проводимые с тысяч скомпрометированных веб-сайтов.
"Этот публичный эксплойт воспользовался тем фактом, что MSVidCtl использует модифицированную версию уязвимых заголовков ATL", - сказал Фермин Серна, инженер из Исследовательского центра Microsoft Security Research Center (MSRC), в своем блоге ранее во вторник. "В данном конкретном случае уязвимость позволяет злоумышленнику повредить память, что может привести к удаленному выполнению кода", - добавил Серна.
Лишнее " & " было замечено парой немецких исследователей-Томасом Дуллиеном, генеральным директором и руководителем исследований Zynamics GmbH, и Деннисом Эльзером-9 июля, когда первый опубликовал свои выводы в блоге. Ошибка, сказал Даллиен, заключалась в функции ATL под названием "ATL::CComVariant::ReadFromStream."
Эта функция привела двух исследователей к нескольким другим компонентам Microsoft, включая несколько критически важных для важных приложений Windows, таких как IE, Проигрыватель Windows Media и терминальные службы. "Ошибка на самом деле гораздо" глубже", чем большинство людей понимают,-сказал тогда Дуллиен, - и исправление убийственного бита явно недостаточно, поскольку должно быть много других способов вызвать эту проблему."
Исправление" kill-bit", о котором упоминал Дуллиен, было выпущено Microsoft в виде инструмента stop-gap 6 июля, чтобы отключить дефектный элемент управления ActiveX. 14 Июля, Microsoft отправил те же самые настройки kill-bit пользователям Windows в качестве обновления в свой обычный ежемесячный день исправлений.
Во вторник Microsoft признала, что решение kill-bit было недостаточным из-за ошибок в ATL. В ответ он также обновил IE, который теперь пытается заблокировать злоумышленников от использования недостатков ATL в элементах управления ActiveX.
Говард не стал извиняться за ошибку в программировании. "Я утверждаю, что это было бы очень трудно обнаружить в обзоре кода, и это не подхватывается компилятором C/C++", - сказал он. Он также сказал, что практика разработки Microsoft "размазывания" кода-подвергая программное обеспечение широкому диапазону ввода данных, чтобы увидеть, если и где он ломается-не поймала дополнительное"&", потому что автоматизированные "размазчики", которые Microsoft теперь использует, не оснащены для обнаружения таких ситуаций.
"Мы находимся в процессе добавления дополнительных эвристик к нашему движку fuzzing, чтобы он мог включать эти специфические для COM байты, если это необходимо",-сказал Говард.
Элемент управления ActiveX MSVidCtl до сих пор не исправлен, признал во вторник в интервью директор MSRC Майк Риви. - Он не был обновлен, мы все еще ведем расследование, - сказал Риви.
Когда его спросили, имеют ли другие компоненты Windows, в том числе перечисленные Dullien и Elser, также дефектный код ATL, Риви сказал, что Microsoft все еще изучает свое собственное программное обеспечение и не имеет ничего общего публично. Двойной уровень защиты-обновление kill bit двухнедельной давности и вчерашнее обновление IE-защитит пользователей от всех известных в настоящее время атак, утверждал он.
Microsoft выпустила во вторник экстренные обновления для Visual Studio и IE отчасти потому, что три других исследователя запланированы позже сегодня, чтобы продемонстрировать способ для злоумышленников обойти защиту компании kill-bit.
Автор: Keylogger.Org Команда
