MS pokazil funkčný kód, otvoril vážnu dieru v antivírusových produktoch a PC

Značky: Microsoftantivírusybezpečnosť

DSL.sk, 9.4.2018

Bezpečnostný tím Google Project Zero identifikoval ďalšiu mimoriadne vážnu zraniteľnosť v antivírusových produktoch, pre ktorú namiesto tohto aby antivírus chránil bezpečnosť operačného systému naopak otvára mimoriadne efektívnu cestu ako počítač infikovať a to bez akejkoľvek súčinnosti užívateľa.

Chyba sa nachádza v skenovacom antivírusom jadre používanom bezpečnostnými produktami Microsoftu, konkrétne v kóde pre spracovávanie RAR archivov v knižnici mpengine.dll.

Identifikoval ju Thomas Dullen z Google.

Antivírusy pri skenovaní za účelom detekcie škodlivého kódu automaticky rozbaľujú komprimované archívy. Kód pre túto funkčnosť je v mpengine.dll podľa Dullena prevzatý z open source nástroja unrar zrejme verzie 4.2.4 alebo nižšej.

Microsoft ale do kódu zaniesol bezpečnostnú chybu, ktorá otvorila vážnu zraniteľnosť. Po zmene typu jednej premennej z celých čísiel so znamienkom na čísla bez znamienka môže podvrhnutý RAR archív spôsobiť zápis do pamäte pred pamäťový buffer a tým poškodiť pamäťové štruktúry.

Podľa Microsoftu to môže viesť k spusteniu útočníkom zvoleného kódu a zraniteľnosť klasifikuje ako kritickú.

Podľa hypotézy Dullena Microsoft menil typy premenných pravdepodobne plošne po skoršom objavení inej zraniteľnosti na inom mieste v kóde, ktorá bola zase spôsobená premennou typu celých čísiel so znamienkom.

Antivírusy mnohé dáta skenujú automaticky a pre zneužitie zraniteľnosti tak nebola potrebná žiadna súčinnosť užívateľa, stačí aby mu podvrhnutý RAR archív prišiel napríklad v emailovej správe. Zraniteľnosť bola prítomná vo Windows Defenderi na všetkých podporovaných verziách Windows a automaticky teda napríklad na každom PC s Windows 10, v ďalších bezpečnostných riešeniach Microsoftu Microsoft Security Essentials a Forefront Endpoint Protection 2010 ale tiež v Exchange Serveri 2013 a 2016.

Pre chybu mohol škodlivý kód spustiť kód s oprávneniami účtu LocalSystem a získať tak kompletnú kontrolu nad počítačom.

Microsoft chybu s označením CVE-2018-0986 aspoň na jeho pomery pomerne promptne od nahlásenia opravil, keď mu Google chybu nahlásil zrejme 1. marca a Microsoftom bola opravená minulý týždeň. Odkedy Microsoft o chybe vedel prípadne z iných zdrojov nie je známe.

Pre opravenie chyby nie je potrebné inštalovať aktualizáciu, keď bezpečnostné produkty Microsoftu sa aktualizujú automaticky samé.




Najnovšie články:



Diskusia:

Konspiracia Od: osvietiny | Pridané: 9.4.2018 9:37 Myslim ze uz mozeme povedat na rovinu ze to nieje konspiracia ked tie chyby tam vznikaju zamerne. Odpovedať Známka: -0.3 Hodnotiť:

zase tá veta Od: vsevec | Pridané: 9.4.2018 9:59 Bezpečnosť a Windows (soft so zakrytým kódom) nie je možné skloňovať v jednej vete :) Odpovedať Známka: 5.0 Hodnotiť:

Re: zase tá veta Od: Ja. | Pridané: 9.4.2018 10:05 Ale dá sa to. Napríklad takto: "Od Windowsu nemožno očakávať žiadnu bezpečnosť." Odpovedať Známka: 9.2 Hodnotiť:

Re: zase tá veta Od: jebe jebe jebe | Pridané: 9.4.2018 10:42 Windows jebe bez gumy. Odpovedať Známka: 6.0 Hodnotiť:

Re: zase tá veta Od: iovciciak | Pridané: 9.4.2018 15:09 ...hocikoho bez gumy... Odpovedať Známka: 7.1 Hodnotiť:

Aspoň 5 znakov Od: Klávesnice | Pridané: 9.4.2018 10:18 O jeden plugin s mnohých v NSA/CIA menej... Odpovedať Známka: 5.8 Hodnotiť:

M$ Safety Od: Aladin | Pridané: 9.4.2018 10:22 "bezpečnostné produkty Microsoftu sa aktualizujú automaticky samé" Z tej vety až mrazí. Odpovedať Známka: 1.9 Hodnotiť:

Re: M$ Safety Od: Tomek ma bobek | Pridané: 9.4.2018 10:33 Píšeš, akoby sa bezpečnostné produkty iných spoločností neaktualizovali automaticky... Hate na MS chápem, ale konštruktívny, pindať na to čo majú všetci hraničí so psychózou ;) Odpovedať Známka: 4.2 Hodnotiť:

Re: M$ Safety Od: Aladin | Pridané: 9.4.2018 10:48 Konštruktívny? Hmmm, kontext je v článku, stačí čítať s porozumením, Microsoft spravil chybu v bezpečnostnom produkte a automatickými aktualizáciami sa táto chyba dostala do množstva počítačov, iné firmy nezvyknú robiť také prešľapy, alebo nie sú tak ostro sledované. Odpovedať Známka: 7.1 Hodnotiť:

Re: M$ Safety Od: faktnie | Pridané: 9.4.2018 11:35 Fakt? Vždy keď vijde nejaký hlavný update iOS do pár dní máme update, linux nevynímajúc. Odpovedať Známka: 0.0 Hodnotiť:

Re: M$ Safety Od reg.: akto666 | Pridané: 9.4.2018 14:28 vsetci robia chyby Odpovedať Známka: 10.0 Hodnotiť:

Re: M$ Safety Od: linuxak | Pridané: 9.4.2018 11:32 V linuxe si to robíš ručne? Ty musíš byť iný expert, keď kontroluješ každú bezp. opravu v linuxe. Odpovedať Známka: 0.0 Hodnotiť:

Re: M$ Safety Od: ericek111 [iPad] | Pridané: 9.4.2018 16:55 V Linuxe aspoň zbežne preletím zmeny pri každej kritickejšej aktualizácií. Pri M$ nemáš na výber. Linux je naozaj omnoho vyspelejší než Windows, vidím to každý deň. Odpovedať Známka: 3.8 Hodnotiť:

Re: M$ Safety Od: chazar | Pridané: 9.4.2018 22:25 presne preto Linux vladne svetu Odpovedať Známka: -8.2 Hodnotiť:

robota Od: Milena Picena | Pridané: 9.4.2018 10:48 MS robi svoju robotu, a robi ju dobre Odpovedať Známka: -1.9 Hodnotiť:

Re: robota Od: Freser | Pridané: 9.4.2018 12:30 Ten bol dobry :) Odpovedať Známka: 7.9 Hodnotiť:

Re: robota Od: qweq | Pridané: 9.4.2018 13:58 suhlasim, ostava zodpovedat co za robotu robi, pre koho a kto to plati Odpovedať Známka: 8.8 Hodnotiť:

Pravda Od: vsevec | Pridané: 9.4.2018 15:07 Robota MS je uskutočnovať jednoduché globálne masové odpočúvanie a kontrolu. A to robí dobre, pravda.. Odpovedať Známka: 10.0 Hodnotiť:

c / c++ Od: hulvat2 | Pridané: 9.4.2018 11:30 Tu vidno ako su jazyky z rodiny C nebezpecne. Odpovedať Známka: -8.0 Hodnotiť:

Re: c / c++ Od: ffdf | Pridané: 9.4.2018 12:22 trebárs rodina Corleone ? To boli poriadne nebezpečné jazyky! Odpovedať Známka: 6.7 Hodnotiť:

Re: c / c++ Od: _xxx | Pridané: 9.4.2018 17:25 to mi pripomina tu spravu ako sa snazili maintainera curl-u presvedcit nech celu libku prepise do rust-u. kompetentny koder vie napisat bezpecny kod v C. Vid napr OpenBSD. Odpovedať Známka: 4.3 Hodnotiť:

Re: c / c++ Od: Koder-sama | Pridané: 9.4.2018 18:23 Kompetentny koder kodu kodi krz: copy con code.arj Odpovedať Hodnotiť:

Re: c / c++ Od: quix_zabudol_som_heslo | Pridané: 10.4.2018 11:34 kompetentny programator mozno. koder ani za boha. kompetentny programator vie, ze aj on robi chyby a v libkach pre curl sa ich moze najst tiez pozehnane. link na clanocek o libcurl :D http://dopice.sk/lgW Odpovedať Hodnotiť:

czczcz Od: czczcz | Pridané: 9.4.2018 21:08 ja uz fakt neviem to musia robit schvalne a cakaju ci na to pride komunita alebo pajkovia z tajnych sluzieb Odpovedať Hodnotiť:

virus v rar Od: chazar | Pridané: 9.4.2018 22:27 Virus v rar ? to mmože len dement vytvoriť... pekne vložim bezpečne do .jpg alebo .avi :) Odpovedať Známka: 0.0 Hodnotiť:

Pridať komentár