Nowy błąd "zero-day" w Windows

Błąd znaleziono w module odpowiedzialnym za obsługę protokołu MHTML (MIME HTML). Jest on odpowiedzialny za agregowanie danych przesyłanych w różnych plikach w jedną spójną całość. Natywnie ten protokół obsługują jedynie Internet Explorer oraz Opera (Chrome i Safari nie obsługują go wcale, a Firefox dopiero po zainstalowaniu odpowiedniego rozszerzenia).

"Najprościej będzie powiedzieć, że jest to pewien wariant błędu typu XSS. Dzięki niemu "napastnik" może się podszyć na stronie WWW pod użytkownika - i np. wysyłać z jego konta wiadomości e-mail" - tłumaczy Andrew Storms, dyrektor działu bezpieczeństwa firmy nCircle Security.

"Odpowiednio przygotowany skrypt może zostać wykorzystany do przechwytywania poufnych informacji (np. e-maili) czy modyfikowania zawartości stron WWW wyświetlanych na komputerze użytkownika" - dodaje Angela Gunn, rzeczniczka microsoftowego działu Security Response Center (MSRC).

Informacja o luce została po raz pierwszy opublikowana na chińskiej stronie WooYun.org - w ubiegłym tygodniu ktoś umieścił tam szczegółowy opis błędu oraz kod demonstrujący przebieg ataku.

IE na celowniku?

"Choć błąd znaleziono w komponencie Windows, który może współpracować z różnymi przeglądarkami, to wygląda na to, że na atak narażeni są wyłącznie użytkownicy IE. Innych przeglądarek problem nie dotyczy, głównie dlatego, że większość z nich nie obsługuje domyślnie MHTML" - komentuje Wolfgang Kandek, CIO firmy Qualys.

Wiadomo już, że problem dotyczy wszystkich obsługiwanych przez Microsoft wersji Windows - w tym również XP, Vista oraz Windows 7. Zdaniem Andrew Stormsa, w tej sytuacji prawie pewne jest, że na poprawkę przyjdzie nam trochę poczekać. "Gdyby chodziło tylko o załatanie IE, pewnie przygotowaliby łatkę na 8 lutego. Ale ten problem dotyczy jednego z kluczowych elementów Windows, dlatego sądzę, że nie będą chcieli ryzykować i przed publikacją poprawki przeprowadzą szeroko zakrojone testy" - mówi specjalista.

Tymczasowe rozwiązanie

Na razie koncern zaoferował użytkownikom tymczasowy sposób rozwiązania problemu - na stronie firmy udostępniono narzędzie Fixit, za pomocą którego można w prosty sposób zabezpieczyć system (poprzez wprowadzenie pewnych zmian do rejestru). Więcej informacji można znaleźć tutaj.

Warto dodać, że Microsoft miewał już w przeszłości problemy z MHTML - najgłośniej było o tym w 2007 r., gdy koncern spierał się z Mozillą o to, kto właściwie powinien załatać taki błąd: producent systemu czy przeglądarki.

Ujawniona właśnie luka w Windows to już piąty (ostrożnie licząc) poważny błąd w Windows, który został upubliczniony i czeka na załatanie. W kolejce czeka m.in. krytyczny błąd we wszystkich wersjach Internet Explorera (wiadomo o nim od grudnia 2010), który jest już wykorzystywany do atakowania użytkowników.

Microsoft na razie uspokaja - koncern twierdzi, że do tej pory nie odnotowano żadnych prób wykorzystywania nowej luki do atakowania użytkowników. "Robimy wszystko co w naszej mocy, by rozwiązać problem - nasi specjaliści pracują już nad odpowiednią aktualizacją. Bardzo uważnie obserwujemy też to, co dzieje się w Sieci" - mówi Angela Gunn.

Więcej informacji znaleźć można na stronie Microsoftu.