Microsoft mal chyby v knižnici, zraniteľné zrejme množstvo ActiveX komponentov

Spoločnosť Microsoft v utorok vydala dve mimoriadne bezpečnostné aktualizácie, ktoré opravujú dve kritické bezpečnostné zraniteľnosti v knižnici Active Template Library používanej vývojármi COM objektov, vrátane ActiveX komponentov. V dôsledku zraniteľností môžu útočníci zneužiť tieto chyby vo viacerých používaných ActiveX prvkov, vrátane napríklad prehrávača Flash.

DSL.sk, 29.7.2009

Spoločnosť Microsoft v utorok vydala dve mimoriadne bezpečnostné aktualizácie mimo pravidelných bezpečnostných aktualizácií, ktoré spoločnosť vydáva v druhý utorok každého mesiaca.

Obe aktualizácie najmä opravujú respektíve predchádzajú zneužitiu dvoch kritických chýb prítomných v knižnici Active Template Library, ATL, od spoločnosti Microsoft. Knižnica ATL pre jazyk C++ je určená a používaná vývojármi pri vývoji COM objektov a teda aj ActiveX komponentov.

Chyby prítomné v knižnici používanej pri vývoji vo vývojárskom prostredí Visual Studio sú tak prítomné pravdepodobne vo veľkom množstve ActiveX komponentov a priamo odstrániť ich je možné až prekompilovaním týchto komponentov autormi s použitím opravenej ATL knižnice.

Ako potvrdila spoločnosť Adobe, zraniteľný je pre použitie zraniteľnej verzie knižnice ATL aj na absolútnej väčšine počítačov s Windows inštalovaný Flash prehrávač pre Internet Explorer.

Opravená zraniteľnosť CVE-2009-0901 umožňuje spustenie ľubovoľného útočníkom zvoleného kódu iba návštevou útočníkom podvrhnutej stránky pomocou Internet Explorera, ak sa na PC nachádza zraniteľný ActiveX komponent skompilovaný so zraniteľnou verziou knižnice ATL.

Zraniteľnosť CVE-2009-2493 rovnako umožňuje spustenie útočníkom zvoleného kódu iba návštevou útočníkom podvrhnutej stránky pomocou Internet Explorera. Útočník môže pomocou chyby spustiť napríklad na PC inštalované ale tzv. killbitom zakázané ActiveX komponenty, cez viacero ktorých štandardne inštalovaných vo Windows je možné zneužitím v nich prítomných chýb spustiť ľubovoľný útočníkom zvolený kód a získať kontrolu nad PC.

Knižnicu ATL v redistribuovateľnej podobe ale tiež jej vývojársku verziu vo Visual Studiu spoločnosť opravila aktualizáciou MS09-035.

Microsoft zároveň vydal veľmi dôležitú aktualizácia MS09-034 Internet Explorera. V samotnom prehliadači Microsoftu sa bezpečnostná chyba súvisejúca s ATL nenachádza, aktualizácia ale pridáva do Internet Explorera ochranu proti v súčasnosti známym spôsobom zneužitia chýb v knižnici ATL v zraniteľných ActiveX komponentoch.

Podľa dostupných informácií ale zrejme aktualizácia Internet Explorera nedokáže zabrániť zneužitiu chýb v zraniteľných ActiveX komponentoch stopercentne a vo všetkých možných prípadoch, riziko zneužitia definitívne na danom PC odstráni až inštalácia nových opravených verzií všetkých zraniteľných ActiveX komponentov alebo zakázanie ich použitia v Internet Exploreri.

Vzhľadom na absenciu mechanizmu aktualizácie u ActiveX komponentov inštalovaných pri návšteve rozličných webových stránok v minulosti môže tak byť aj PC pravidelne aktualizované bežnými spôsobmi aktualizácie softvéru a operačného systému kvôli zraniteľnostiam v ATL a inštalovaných ActiveX komponentoch zraniteľné aj inak v plne aktualizovanom stave.

Spoločnosť Microsoft zároveň s vydaním aktualizácií tak oznámila, že bude u zistených zraniteľných používaných ActiveX komponentov bez aktívnej podpory nastavovať automatickými aktualizáciami tzv. killbit a znemožní tak ich spúšťanie v IE. Spoločnosť tiež na požiadanie autorov nastaví aktualizáciami killbit pre ľubovoľný zraniteľný ActiveX komponent.





Najnovšie články:



Diskusia:

Windows Up-kill-date Od: Meno s mrtvym pc | Pridané: 29.7.2009 23:28 Mne tieto aktualizacie "zabili" windows - po update a restarte ide chvilu po nalogovani vsetko dobre a po chvili to zmrzne (hybe sa kurzor, da sa napr otvorit My Computer, ale jeho obsah sa uz nenacita) a reaguje iba na hardverove vypnutie... Ma niekto rovnake skusenosti? Odpovedať Známka: 8.2 Hodnotiť:

Re: Windows Up-kill-date Od: Meno s mrtvym pc | Pridané: 29.7.2009 23:30 Inak safe mode ide, len ako prist na to, na com to mrzne pri normalnom spusteni... Odpovedať Známka: 10.0 Hodnotiť:

Re: Windows Up-kill-date Od reg.: MCGiany | Pridané: 29.7.2009 23:34 skus pozriet logy.... jaj sry, zabudol som, windows ziadne nema :( Odpovedať Známka: -4.1 Hodnotiť:

Re: Windows Up-kill-date Od: meno s pc | Pridané: 29.7.2009 23:42 Ma. Odpovedať Známka: 9.0 Hodnotiť:

Re: Windows Up-kill-date Od: PCnityIII | Pridané: 29.7.2009 23:54 Na pocudovnie myslim ma... Event log. Odpovedať Známka: 8.6 Hodnotiť:

Re: Windows Up-kill-date Od: PCnityIII | Pridané: 29.7.2009 23:57 Jasne... Musim dodat: VIVAT MICROSOFT :) a ich "webovy standard" vdaka ktoremu som este roky mal s urcitymi demetmi problem pri pouzivani GNU/Linuxu a dokonca aj MFF na WIN. Odpovedať Známka: 4.3 Hodnotiť:

Re: Windows Up-kill-date Od: 2Matejko | Pridané: 2.8.2009 8:21 A čo tak updatnúť ovládač VGAčky a k nemu aj DirectX, resp. nájsť vhodnejšie ovládače aj k MB??? Odpovedať Hodnotiť:

Re: Windows Up-kill-date Od: Meno s funkcnym pc | Pridané: 29.7.2009 23:42 Hm, tak nakoniec to bol Comodo Antivirus, teraz je otazne, ci sa bije s updatom, alebo bol pokazeny sam o sebe a zrejme sa len prejavil po restarte, ktory si vyziadal Windows Update. Pozeram, ze taketo problemy hlasia uz od 26.7., takze zrejme Windows Update je v tom nevinne, len sposobil ten restart, po ktorom sa to prejavilo. Odpovedať Známka: 7.5 Hodnotiť:

Re: Windows Up-kill-date Od: hm_ | Pridané: 6.8.2009 21:20 Chyba, ktoru pises, pravdepodobne suvisi s Comodo AV, nejakym blbym kodom pokazili aktualizacny subor, malo sa to stat iba pre x64 systemy. Oprava je mozna, ked vymazes subor s databazou AV a nechas si uplne stiahnut celu databazu (podrobnosti co mazat a ako najdi na fore Comodo). Odpovedať Hodnotiť:

Re: Windows Up-kill-date Od: haha | Pridané: 30.7.2009 0:22 ze aktualizacie zabili win - no to si zabil Odpovedať Známka: 2.5 Hodnotiť:

Re: Windows Up-kill-date Od: Pain | Pridané: 30.7.2009 17:59 Neviem aky Win pouzivas, ale u mna na Win7 RC to tiez zacalo robit predvcerom...neviem ale ci to je akutualizaciami, alebo to nemaju odladene celkom a zacala sa u mna prejavovat nejaka mucha systemu... Odpovedať Hodnotiť:

Re: Windows Up-kill-date Od: Ja. | Pridané: 1.8.2009 13:37 mne sa to stalo so SP3, win sa z toho už nespamätal Odpovedať Hodnotiť:

ActiveX Od: Jerry19 | Pridané: 30.7.2009 9:43 Zaujima to vobec niekoho ? Nikto normalny si zverstvo ako ActiveX napovoli a vobec to nepouziva. Ved je uz davno jasne ze ActiveX je strasna prasivost. NEtreba to vobec pouzivat, ziadne aktualizacie neriesit, rovno to zakazat uplne a najlepsie zakazat aj cely IE vo firewalle. A idealne by bolo ak by sa celkovo IE zakazal. :) Odpovedať Známka: 6.0 Hodnotiť:

Re: ActiveX Od: lklklklklklklklk | Pridané: 30.7.2009 10:23 No to je asi najlepsie riesenie, nepouzivat IE a basta. Pouzit ho len kvoli dementom ako katasterportal.sk, ktori na zobrazenie katastralnych map vyzaduju ie aj s AktiveX. Odpovedať Známka: 8.7 Hodnotiť:

Re: ActiveX Od: Cpx | Pridané: 2.8.2009 10:01 Ja by som zakazal detom pouzivat strelne zbrane aby si nevystrelili oko, lebo este niesu dost rozumne na to aby to vedeli spravne pouzivat. Odpovedať Hodnotiť:

ffffffffffffffffff Od: mmmmmmmmmmf | Pridané: 30.7.2009 11:17 Ja nepouzivam Windows vobec, je to stavka na istotu a klud ze sa mi system nezaserie ziadnym mallwareom nikym z rodiny.. Odpovedať Známka: 7.8 Hodnotiť:

Re: ffffffffffffffffff Od: Rival-e | Pridané: 30.7.2009 19:21 plne s Tebou suhlasim, to iste aj u mna, ci uz ja alebo hocikto z rodiny fici na linuxoch a zvykli si a nikto nenadava a ked treba nieco specialne urobit tak to spacham a zasa je kazdy spokojny. bez visrusov a malwareu. Odpovedať Známka: 10.0 Hodnotiť:

..... Od: Ja. | Pridané: 30.7.2009 14:24 "zakázané ActiveX komponenty, cez viacero ktorých štandardne inštalovaných vo Windows je možné zneužitím v nich prítomných chýb spustiť ľubovoľný útočníkom zvolený kód a získať kontrolu nad PC" Môžte mi to niekto napísať inak? :D Odpovedať Známka: 10.0 Hodnotiť:

Re: ..... Od: Pain | Pridané: 30.7.2009 17:40 Windows obsahuje vela casti systemu, ktore pouzivaju ActiveX, ale su skompilovane so zlou ATL kniznicou,takze su v nich diery ktore sa daju cez ten posahany ActiveX zneuzit a dostat sa k comu chces... Odpovedať Známka: 10.0 Hodnotiť:

Aktualizacie Od: Pain | Pridané: 30.7.2009 17:54 Zraniteľnosť CVE-2009-2493...Útočník môže pomocou chyby spustiť napríklad na PC inštalované ale tzv. killbitom zakázané ActiveX komponenty... Spoločnosť Microsoft ... oznámila, že bude u zistených zraniteľných používaných ActiveX komponentov bez aktívnej podpory nastavovať automatickými aktualizáciami tzv. killbit... Utocnik moze spustit aj killbitom zakazane komponenty, ale Microsoft ide nastavovat killbity na komponenty pouzivane v IE ...Neviem ako si to predstavuju, lebo ak to nezablokuju naraz vsetko jednou aktualizaciu, je tu riziko ze sa medzi jednotlivimi aktualizaciami navstivi podvrhnuta stranka, a utocnik si tie uz nastavene killbity zas zmeni spat a je po aktualizacii... Odpovedať Hodnotiť:

Re: Aktualizacie Od: spooxik | Pridané: 30.7.2009 21:08 Kill Bill je najlepsi killbit Odpovedať Hodnotiť:

windlux Od: 0dee | Pridané: 31.7.2009 17:16 a zachranme wokna prekompilovaním :) Odpovedať Hodnotiť:

AktivX Od: aleluja | Pridané: 1.8.2009 21:34 Ale ten aktivX urcite nedokaze vytlacit papier cez wifi bez toho aby som musel vo vlekom kancli behat s PDA a strkat ho do PC fyzicky. Odpovedať Hodnotiť:

Pridať komentár