Vo Windows je vážna chyba v jadre TCP/IP

DSL.sk, 9.11.2011

V desktopových aj serverových verziách operačného systému Microsoft Windows sa nachádza vážna chyba priamo v základnej implementácii rodiny protokolov TCP/IP, ktorá potenciálne umožňuje vzdialené spustenie útočníkom zvoleného kódu.

Microsoft o chybe informoval v utorok spolu s vydaním aktualizácie MS11-083 opravujúcej túto chybu.

Chyba sa nachádza v spracovaní UDP paketov prichádzajúcich na port, na ktorom nepočúva žiadna služba. Počet referencií bližšie nešpecifikovaných pamäťových štruktúr nie je po spracovaní paketu znížený a môže viesť k pretečeniu tohto počítadla.

Po pretečení počítadla na nulu sa jadro Windows domnieva, že pamäť sa už nepoužíva, a uvoľní ju. Ak príde k použitiu tejto uvoľnenej pamäte pre iné dáta, môže to pri spracovaní ďalšieho UDP paketu potenciálne viesť až k úspešnému spusteniu útočníkom zvoleného kódu.

Aby mohol útočník chybu zneužiť, stačí mu len možnosť posielať na cieľový server UDP pakety na ľubovoľný nepoužívaný port. V popise chyby Microsoft neinformuje, že by jej zneužitiu dokázal zabrániť lokálny firewall inštalovaný na PC. Táto chyba má tak zrejme v prípade nájdenia funkčného exploitu potenciál umožniť vytvorenie efektívneho rýchlo sa šíriaceho červa.

Podľa Microsoftu je ale vytvorenie funkčného spoľahlivého exploitu mimoriadne náročné, keď na spôsobenie pretečenia vyžaduje veľký počet paketov a presné časovanie pri pretečení na nulu. Koľkobitové je pretečené počítadlo a koľko paketov je tak treba na pretečenie Microsoft neuvádza.

Chyba má stupeň závažnosti kritický a nachádza sa vo Windows 7, Windows Vista, Windows Server 2008 a Server 2008 R2. Nenachádza sa vo Windows XP a Windows Server 2003.

Okrem aktualizácie MS11-083 vydal Microsoft tri ďalšie aktualizácie riešiace bezpečnostné chyby vo Windows Mail a Meeting Space, Active Directory a pri otvorení útočníkom podvrhnutých TrueType fontov.




Najnovšie články:



Diskusia:

Dobry Backdoor - vážna chyba ? Od: BolRazJedenChlapec | Pridané: 9.11.2011 9:31 Zaujimalo by ma ako dlho uz tuto chybu MS vyuzival na zbieranie dat od svojich vernych zakaznikov :D Odpovedať Známka: -2.5 Hodnotiť:

Re: Dobry Backdoor - vážna chyba ? Od: dgbgdd | Pridané: 9.11.2011 14:50 to nieje apple a iphone Odpovedať Známka: 5.6 Hodnotiť:

Re: Dobry Backdoor - vážna chyba ? Od: hatatitla1 | Pridané: 9.11.2011 16:42 ved to ze nie su...apple by to vyhlasila za featuru :) Odpovedať Známka: 8.8 Hodnotiť:

Re: Dobry Backdoor - vážna chyba ? Od: MAJAK - neregistrovany | Pridané: 10.11.2011 11:12 dobre ze mam este xpcko :) Odpovedať Známka: -1.1 Hodnotiť:

Re: Dobry Backdoor - vážna chyba ? Od: dráčisko | Pridané: 12.11.2011 10:10 a ja blbec som už opustil XP, a teraz mi určite niekto hekuje krvopotne vyrobené obaly na DVD Odpovedať Hodnotiť:

budúcnosť je jasná, budúcnosť je v riti Od: reg.: bačov kokot | Pridané: 9.11.2011 9:34 Ve dverich mexicka divka stoji, ve vlasech ryyyyyzi maaaaaaaaa, ti dlouhy veceri, kdyz se ozire ze cherry...... Odpovedať Známka: -7.1 Hodnotiť:

ferko Od: fero12345 | Pridané: 9.11.2011 9:39 ešte ,že mám v routeri povolene iba niektore porty :-) Odpovedať Známka: -5.8 Hodnotiť:

TCPIP Od: Lukiki1 | Pridané: 9.11.2011 9:44 Ja nemam ani ruter, ani internet ani porty a mam pokoj. Odpovedať Známka: 1.9 Hodnotiť:

Re: TCPIP Od: xvzf | Pridané: 9.11.2011 9:55 ja ani windows, a tiez pohodka Odpovedať Známka: 1.6 Hodnotiť:

Re: TCPIP Od reg.: Xwing | Pridané: 9.11.2011 10:34 A keď sa chceš pozrieť von tak ti neostáva nič iné iba otvoriť dvere :D Odpovedať Známka: 9.1 Hodnotiť:

Re: TCPIP Od: jajo pajo | Pridané: 9.11.2011 10:07 som zvedavy ako sem prispievas, ked nemas internet :D :D :D Odpovedať Známka: -0.3 Hodnotiť:

Re: TCPIP Od reg.: sem . | Pridané: 9.11.2011 10:11 no predsa mentalnou projekciou Odpovedať Známka: 9.3 Hodnotiť:

Re: TCPIP Od reg.: 1000Sk | Pridané: 9.11.2011 10:34 sedí za databázovým serverom a ručne mení tabuľky Odpovedať Známka: 9.7 Hodnotiť:

Re: TCPIP Od reg.: Squeak? | Pridané: 9.11.2011 11:14 Sakra, ono sa to dá aj inak?! Odpovedať Známka: 8.6 Hodnotiť:

Re: TCPIP Od: cpum | Pridané: 10.11.2011 14:23 isiel do net kafé., Odpovedať Známka: -6.7 Hodnotiť:

Všetky počítače a internety Od: MuadDIb | Pridané: 12.11.2011 18:30 No predsa on všetky tie počítaće a internety už dávno vyhodil...! :-) Odpovedať Hodnotiť:

nadpis Od: jjsanko | Pridané: 9.11.2011 9:45 nadpis by mal zniet Windows je vážna chyba. to by vystihovalo vsetko Odpovedať Známka: -1.2 Hodnotiť:

Re: nadpis Od: Daniel___ | Pridané: 9.11.2011 9:57 Ty si vazna chyba. Odpovedať Známka: 5.0 Hodnotiť:

Re: nadpis Od: mattti | Pridané: 9.11.2011 10:00 dni otvorenych okien Odpovedať Známka: 8.7 Hodnotiť:

Re: nadpis Od: Hrivis | Pridané: 9.11.2011 17:06 ROFL... si to trafil :D Odpovedať Známka: 8.2 Hodnotiť:

Este ze mame dsl.sk... Od: oraJaro_off | Pridané: 9.11.2011 10:19 Aspon viem, preco mi rano Win stahoval 4 aktualizacie. Odpovedať Známka: -0.5 Hodnotiť:

Re: Este ze mame dsl.sk... Od: kondom | Pridané: 9.11.2011 10:34 to by si zistil aj z vypisu aktualizacii v tvojom systeme. na to si clanok nepotreboval. Odpovedať Známka: 9.3 Hodnotiť:

Re: Este ze mame dsl.sk... Od: foobar0_ | Pridané: 9.11.2011 10:38 Ale co by to bol za dslkar, keby nezavesil hocijaky zbytocny komentar :) Odpovedať Známka: 10.0 Hodnotiť:

Re: Este ze mame dsl.sk... Od: oraJaro_off | Pridané: 9.11.2011 11:45 Nezistil, lebo som hned utekal do prace a teda som na vypis nemal cas. A navyse, spravny dslkar ide najskor sem... Odpovedať Známka: 8.3 Hodnotiť:

Re: Este ze mame dsl.sk... Od reg.: Terepin | Pridané: 9.11.2011 12:01 Tak by si si výpis pozrel po návrate z práce. Odpovedať Známka: 6.0 Hodnotiť:

Re: Este ze mame dsl.sk... Od: oraJaro_off | Pridané: 9.11.2011 13:49 Nie, lebo medzitym som cital dsl.sk. Uvazuj trochu... Odpovedať Známka: 10.0 Hodnotiť:

Re: Este ze mame dsl.sk... Od: kondom | Pridané: 9.11.2011 14:16 ako spravy dlskar mas v praci alebo na mobile RDP na domaci pocitac a hned po prichode do prace a prestudovani dnesneho dsl, by si si samozrejme zoznam aktualizacii pozrel. to uz tu fakt nikto nic negarantuje!? Odpovedať Známka: 8.9 Hodnotiť:

Re: Este ze mame dsl.sk... Od: hulo | Pridané: 9.11.2011 15:56 Ja napr. nečítam všetky výpisy, čo ktorý update opravuje... hlave ak ich je viac. Zvyčajne len skontrolujem "Known isues", ak je tam "None.", tak ďalej nečítam a rovno inštalujem. Preto pokladám tento článok na DSL za dobrú informáciu, ktorá ma upozornila na niečo, čo som nevedel. Odpovedať Známka: 8.2 Hodnotiť:

to je co za maskraradu? Od: ubx | Pridané: 9.11.2011 10:33 kua, to ako vobec moze nejaky OS zacat riesit pakety na closed porte?!? kurna ked dojde paked na closed port, tak ho ma smarit o zem az sa z toho zatrase sender IP. a dokonca to zrejme prelezie cez lokal FW, kedze M$ odporuca ako workaround blokovanie na perimeter FW. no to ma podrz. fakt implementacia stacku jak svina. alebo ze by to bol zamer, len sa toho chytil dakto nepovolany? Odpovedať Známka: 1.4 Hodnotiť:

Re: to je co za maskraradu? Od: asdfasda | Pridané: 9.11.2011 10:36 Ten paket sa musi nejak spracovat, aby sa zistilo, ze prisiel na port, kde nikto nic necaka. No a pritom spracovavani tam maju chybu. Co je na tom nezrozumitelne? Jasne ze ho potom zahodia, ale aj na to musia spustit kus kodu. Odpovedať Známka: 8.1 Hodnotiť:

Re: to je co za maskraradu? Od: ubx | Pridané: 9.11.2011 11:04 cielovy port mas v udp headeri. takze obsah packetu by sa rozhodne dostat k slovu nemal. Odpovedať Známka: 0.9 Hodnotiť:

Re: to je co za maskraradu? Od: prdlajs | Pridané: 9.11.2011 11:50 Vsak obsah packetu to nespracovava, ked na tom porte nic nenacuva. Evidentne si nepochopil popis chyby - je to v tom, ze to uklada niekam do zasobnika pred spracovanim, a ten mu pretecie. Odpovedať Známka: 7.5 Hodnotiť:

Re: to je co za maskraradu? Od: ubx | Pridané: 9.11.2011 12:21 na tom moc nie je co chapat. ms (mozno kvoli akceleracii) uklada "continuous flow" sposobom, ktory zjavne neratal s tym, ze si tie packety dakto nebude vyberat. az to nakoniec pretecie. a riesenie: "The update addresses this vulnerability by modifying the way that the Windows TCP/IP stack keeps track of UDP packets within memory." hovori akurat o tom, ze sa ten bordel pokusili dako osanovat. skratka situacia, ze stack si hromadi UDP packety, ktore nemaju dnu co robit, nemala vobec nastat. Odpovedať Známka: 3.3 Hodnotiť:

Re: to je co za maskraradu? Od: m44 | Pridané: 9.11.2011 18:45 myslim, ze mame dost malo informacii na tvrdenia: "stack si hromadi UDP packety, ktore nemaju dnu co robit". tie packety na porty kde nic nebezi tam uz davno nemusia byt. chyba je v nejakych citacoch, nie v pocte paketov na stacku. Odpovedať Hodnotiť:

Re: to je co za maskraradu? Od: el_kabel | Pridané: 9.11.2011 23:26 tie udp pakety sa musia spracovat skor ako mozes rozhodnut ci ich pustis/nepustis. treba si uvedomit ze tato security issue je velmi nafuknuta. keby bol s tym oznamom miesto patchu 0day exploit alebo aspon PoC tak sa mozme bavit o vaznom probleme. realita je ale taka ze na zneuzitie chyby nieje zrovna jednoduche a spolahlivy exploit v nedohladne (a pravdepodobne nemozny). nehovoriac o tom ze vacsina pc je za nejakym routerom a teda remote exploit nieje az tak jednoduchy. Odpovedať Známka: -3.3 Hodnotiť:

Re: to je co za maskraradu? Od: zlo | Pridané: 12.11.2011 12:17 remote exploit mozno nie, ale staci ti na lokalnej sieti 1 pc ktory to bude skusat (ak sa na to napise virus) a si za vodou... ano, ja viem, ze to je aktualne teraz nerealne, ale potencial to ma :) Odpovedať Hodnotiť:

stare dobre XP Od: Cage | Pridané: 9.11.2011 11:53 Vidno, ze XP bol premakany a uz je odladeny system. Odpovedať Známka: 2.9 Hodnotiť:

Re: stare dobre XP Od: fako | Pridané: 9.11.2011 12:36 V nom ale principialne nemoze byt takato chyba vzhladom na obmedzenie sietovych sluzieb podla udajov clanku. Odpovedať Známka: 10.0 Hodnotiť:

Re: stare dobre XP Od: 3xc | Pridané: 9.11.2011 12:44 Aj vo Windows XP bola taká istá chyba. Odpovedať Známka: -2.5 Hodnotiť:

Backdoor? Od: mkl | Pridané: 9.11.2011 11:58 Zeby to bol MS Backdoor? Mozno zaslanim specifickych dat sa aktivuju zadne vratka. Asi im niekto na to prisiel. Odpovedať Známka: 5.8 Hodnotiť:

Re: Backdoor? Od: suliman | Pridané: 9.11.2011 16:38 eh, si skor myslim, ze ms pochopil ze treba "ist s dobou" a ze prave naopak takto nahadzuje cez update tento backdoor :D Odpovedať Známka: 10.0 Hodnotiť:

porty Od: mr.joda23 | Pridané: 9.11.2011 23:17 ja mám porty , ale ja mám porty PRO! takže ja sa báť nemusím Odpovedať Známka: 2.0 Hodnotiť:

Re: porty Od: porthos | Pridané: 10.11.2011 5:06 ja mam portske a to si ustrazim aj bez aktualizacie. Odpovedať Známka: 10.0 Hodnotiť:

vazna chyba Od: noris | Pridané: 9.11.2011 23:33 tiez by som v nadpise vypustil tu prvu predlozku Vo, nazov Windows je vazna chyba by asi sedel najviac... :D Odpovedať Známka: 10.0 Hodnotiť:

windows Od: PM. | Pridané: 12.11.2011 17:00 Co je to windows? Odpovedať Hodnotiť:

Pridať komentár