Microsoft opravil 7.5-ročnú vážnu bezpečnostnú chybu

DSL.sk, 12.11.2008

Spoločnosť Microsoft vydala v utorok dve bezpečnostné aktualizácie opravujúce spolu štyri chyby v Microsoft Windows.

Aktualizácia MS08-69 stupňa kritická opravuje tri chyby v Microsoft XML Core Services, z ktorých najvážnejšia chyba CVE-2007-0099 je mimoriadne závažná a je ju možné zneužiť iba renderovaním respektíve parsovaním špeciálne skonštruovaného XML dokumentu napríklad v podobe webovej stránky alebo HTML emailu.

Útočník následne môže spustiť ľubovoľný kód s právami užívateľa, ktorý navštívil podvrhnutú stránku, a v prípade účtu s administrátorskými právami získať kontrolu nad PC.

Hoci Microsoft nepredpokladá vyvinutie konzistentného exploitu pre túto chybu, odporúčané je čo najskoršie inštalovanie aktualizácie.

Druhá aktualizácia MS08-068 stupňa závažnosti dôležitá opravuje vážnu chybu v implementácii protokolu SMB, ktorá je podľa dostupných informácií známa už od roku 2000.

Chyba v NTLM umožňuje podvrhnutému súborovému serveru, ku ktorému sa pripája klient cez štandardný SMB protokol, pri autentifikácii využiť overenie identity užívateľa na prihlásenie sa spätne cez SMB na tohto klienta pod právami užívateľa inicializujúceho SMB spojenie.

Následne útočník získa prístup do zdieľaných adresárov na klientskom PC a možnosť spúšťať príkazy s rovnakými právami ako užívateľ, v prípade účtu s administrátorskými právami tak môže získať plnú kontrolu nad PC.

Chyba sa dá zneužiť aj cez Internet, keď útočník na stránke podvrhne napríklad v IMG tagu obrázok sťahovaný cez SMB protokol zo servera pod svojou kontrolou. Pri pripojení sa prehliadača na tento server sa následne server môže úspešne cez SMB prihlásiť na PC, ak má toto prístupné TCP porty 139 alebo 445 z Internetu.

Microsoft síce uvádza tohtoročný identifikátor opravenej chyby CVE-2008-4037 a v popise chyby sa sústreďuje na možnosť spúšťať kód, príčinou chyby je ale zraniteľnosť NTLM využiteľná cez SMB podľa dostupných informácií známa už od roku 2000.

Odkazy na stiahnutie aktualizácií pre jednotlivé verzie Windows je možné nájsť v tomto popise aktualizácií.


Najnovšie články:



Diskusia:

Titulok: Od: niggga | Pridané: 12.11.2008 10:32 este, ze tak svizne microsoft reguje na odhalene chyby Odpovedať Známka: 7.2 Hodnotiť:

Re: Titulok: Od: micro | Pridané: 12.11.2008 11:08 to vies, uz si myslia ze vacsina ludi prejde na vistu alebo na 7micku tak nepotrebuju zadne vratka k XP. Odpovedať Známka: -5.3 Hodnotiť:

Re: Titulok: Od: sadasd | Pridané: 12.11.2008 11:36 promptne Odpovedať Známka: 7.5 Hodnotiť:

Re: Titulok: Od: Zmurko | Pridané: 12.11.2008 12:04 Hadam si nemyslis, ze budu odstranovat vsetky chyby naraz/ v kratkom case. Co by asi robili potom pocas nasledujucich mesiacov/rokov? V pracovnom vykaze by im tam figurovalo "miesanie kavy, hranie min" apod. a to by sa tam velmi nevynimalo. xD Odpovedať Známka: 8.1 Hodnotiť:

Re: Titulok: Od: .:) | Pridané: 12.11.2008 12:52 lebo unix-ove systémy nemali take stare neopravene chyby, ze? Tuším ze o tom aj písali tu na dsl Odpovedať Známka: -4.0 Hodnotiť:

Re: Titulok: Od: 324535 | Pridané: 12.11.2008 13:36 No ake? Chybu v kalkulacke? Odpovedať Známka: 0.0 Hodnotiť:

Re: Titulok: Od reg.: Alino | Pridané: 12.11.2008 14:38 nee, chybu v kalkulacke mal google, to si mylis. Odpovedať Známka: 10.0 Hodnotiť:

Re: Titulok: Od: hoha | Pridané: 12.11.2008 14:42 aj vam dosla kalkulacka s double displayom? Odpovedať Známka: 8.9 Hodnotiť:

Re: Titulok: Od: .:) | Pridané: 12.11.2008 18:35 cekuj toto ... http://www.dsl.sk/article.php?article=5716 Odpovedať Hodnotiť:

Re: Titulok: Od: anonym | Pridané: 12.11.2008 21:20 to je sice pravda,.. ved predsa nikto nie je neomylny.. ale ta chyba sa prejavuje len vynimocne a neni nejak kriticka... ale chyba, ako ta vo windowse je zneuzitelna na ziskanie kontroly nad pc a to si myslim je podstatnejsie... Odpovedať Známka: 2.0 Hodnotiť:

Re: Titulok: Od: anyone2 | Pridané: 12.11.2008 23:47 Obe spomenute chyby je pri sucasnych nastaveniach PC (firewall, antivirus s kontrolou bufer overflow, etc.) len velmi obtiazne zneuzit. Da sa to jasne vycitat z clanku. Ale par ludi potrebuje podobne spravy aby sa utvrdilo, ze to "ich" riesenie je to jedine spravne :) Odpovedať Hodnotiť:

Re: Titulok: Od: qaz | Pridané: 13.11.2008 11:11 len je rozdiel, 25 rokov o chybe nevediet a po najdeni ju hned opravit ako vediet o nej a opravit po 7 rokoch Odpovedať Známka: 6.7 Hodnotiť:

Re: Titulok: Od reg.: .M15k0. | Pridané: 14.11.2008 5:42 moj, citaj este raz! Odpovedať Hodnotiť:

Re: Titulok: Od: szaga2 | Pridané: 12.11.2008 17:38 Dnes zaktualizujem a po zajtra zasa mozem lebo dnesna aktualizacia obsahovala vazne kriticke prvky.... Je to smiesne!! Radsej neaktualizujem a mam pokoj! Odpovedať Známka: -6.0 Hodnotiť:

Re: Titulok: Od: Mettiu | Pridané: 12.11.2008 18:08 no ani ms nie je jediny co pomaly reaguje na niektore chyby... pokial viem tak aj v linuxe bola nejaka chyba peknych par rokov... ale nechcem tym nikoho neako zhadzovat... my uzivatelia mozme len dufat ze sa takeho veci budu diat len vynimocne Odpovedať Hodnotiť:

Re: Titulok: Od: Matko55 | Pridané: 13.11.2008 17:37 Aspon ze Linux svizne reaguje ze? Minule opravili 15 alebo 20 rocnu chybu......... Odpovedať Známka: 3.3 Hodnotiť:

vážnu chybu Od reg.: ado6020 | Pridané: 12.11.2008 11:06 nám to nevadííííí, že sme na.... Odpovedať Hodnotiť:

chyby Od: compal | Pridané: 12.11.2008 11:38 xp bolo super ,malo plno chyb ktore sa odstarnili casom teraz je vista dobra ma este nedostatky ale aj tie sa casom odsrania,a sedmicka bude uz ina kava. Odpovedať Známka: 0.0 Hodnotiť:

Re: chyby Od: FerkoKE | Pridané: 12.11.2008 11:55 no aby ta 7 bola vazne taka dobra... Odpovedať Známka: 7.1 Hodnotiť:

Re: chyby Od: anonym | Pridané: 12.11.2008 21:23 hmm... mas pocit, ze ktorykolvek z produktov Microsoftu je aky dobry, ako bol propagovany??? Odpovedať Známka: 3.3 Hodnotiť:

Re: chyby Od: claudius | Pridané: 12.11.2008 12:16 ako ina? bugfree? :D alebo promptne opravovana? :D Odpovedať Známka: 8.2 Hodnotiť:

Re: chyby Od reg.: Alino | Pridané: 12.11.2008 14:39 skor free bugs Odpovedať Známka: 6.2 Hodnotiť:

Re: chyby Od reg.: Čestmír =) | Pridané: 12.11.2008 16:07 teraz mi to pripomenulo hoooodne staru hru Battle Bugs :)) Odpovedať Známka: 6.0 Hodnotiť:

Parser Od: Thim | Pridané: 12.11.2008 11:42 Dúfam, že mi to nepokazí nejaký parser, lebo pošlem na nich al-Kaidu. Odpovedať Známka: 0.0 Hodnotiť:

opravil? Od: MLx | Pridané: 12.11.2008 19:16 Hm, som jediny, co na prvhy pohlad precital nadpis ako "Microsoft oslavil 7.5-rocnu chybu"? Odpovedať Známka: 2.5 Hodnotiť:

Re: opravil? Od reg.: $Nooscy$ | Pridané: 12.11.2008 21:30 hej... si number ONE!!! Odpovedať Známka: 5.0 Hodnotiť:

Názor Od reg.: milosik | Pridané: 12.11.2008 22:43 Ináč nikdy nepochopím že pri takých kapacitách aké robia pre microsoft sa vôbec stávajú(or zabúda sa...)na také veci.Za to by mali padať hlavy!!!!!!!!!!!!!!!!!!!!!! Odpovedať Známka: 5.0 Hodnotiť:

Re: Názor Od: anyone2 | Pridané: 12.11.2008 23:49 :-) dragam este raz precitaj clanok! Nemyslim, ze na chyby sa zabudlo. Proste ich z nejakych inych (zrejme technologickych) dovodov nebolo treba riesit. Odpovedať Hodnotiť:

Re: Názor Od reg.: HeckreN | Pridané: 13.11.2008 0:34 Sak jasne, co mozes urobit dnes, odloz na pozajtra :-) Odpovedať Známka: 10.0 Hodnotiť:

Re: Názor Od reg.: HeckreN | Pridané: 13.11.2008 0:34 (alebo na 7.5 roka) Odpovedať Známka: 7.1 Hodnotiť:

Re: Názor Od: Nikto :-) | Pridané: 13.11.2008 0:48 ROFL :D Odpovedať Hodnotiť:

Re: Názor Od: anyone2 | Pridané: 13.11.2008 12:16 Alebo rovno 25 rokov :) "V operačných systémoch z rodiny BSD bola nájdená chyba, ktorá sa podľa informácií jej objaviteľa nachádzala v zdrojových kódoch už približne 25 rokov." Odpovedať Známka: 3.3 Hodnotiť:

Re: Názor Od reg.: OmeGa | Pridané: 13.11.2008 15:00 lenze o tejto chybe sa dozvedeli po tych 25 rokoch. ms o tomto vedel roky.. Odpovedať Hodnotiť:

maju hry prveho miesta Od: ms myni | Pridané: 13.11.2008 4:14 si mislys ze microsoft ma len myni? pozri sa na microsoft games a uvidis ze je to gigant na ktori ty ani okom zle nepozries a chovas sa akoby si mal v pocitaci databazu vsetkich bank a cisiel uctov okrem porna a hardverova bespecnost a hardverove firevol bankam sluzi on vzniku internetu takze si utri usta prosimta. Odpovedať Známka: -5.0 Hodnotiť:

Re: maju hry prveho miesta Od: ___ | Pridané: 13.11.2008 9:26 Neubližuj maďari! Odpovedať Známka: 6.0 Hodnotiť:

handrovnik obecny! Od: lobogo osmy | Pridané: 13.11.2008 5:35 TY KOKOCIK SI RADSEJ OTVOR SLABIKAR A CITAJ!!! MAMA MA EMU EMA MA MAMU MAMA JEBE EMU DO HUBY EMA KVICI AKO PRASA ATD ATD Odpovedať Známka: 0.0 Hodnotiť:

Re: handrovnik obecny! Od: Zmurko | Pridané: 13.11.2008 8:52 Mas stary slabikar. V novom je to uz inak: Mama ma Emu. Ema ma Emila. Emil ma Mamu. Mama, Ema a Emil maju AIDS. Odpovedať Známka: 10.0 Hodnotiť:

Re: handrovnik obecny! Od: ___ | Pridané: 13.11.2008 9:27 Ema je EMO. Odpovedať Známka: 10.0 Hodnotiť:

Re: handrovnik obecny! Od reg.: Čestmír =) | Pridané: 13.11.2008 10:35 :D:D:D:D:D Odpovedať Hodnotiť:

Re: handrovnik obecny! Od: Zmurko | Pridané: 13.11.2008 12:31 Nie, Emil je EMO... Takze to bude: Mama, Ema a EMO maju AIDS :) Odpovedať Známka: 10.0 Hodnotiť:

Re: handrovnik obecny! Od reg.: WOTDAFAK | Pridané: 14.11.2008 7:00 Extrémne Mastnú Ofinu??? Odpovedať Hodnotiť:

Pridať komentár