Microsoft: nowa luka w Windows XP, Vista i Server 03/08

Koncern z Redmond opublikował alert, w którym ostrzega użytkowników Windows przed nową luką w zabezpieczeniach systemu. Błąd pozwala na nieautoryzowane zwiększenie przywilejów użytkownika - co ciekawe, kilka tygodni temu koncern oficjalnie zaprzeczył, jakoby taki problem dotyczył Windows.

Z informacji udostępnionych przez firmę wynika, że luka występuje w Windows XP SP2, wszystkich dostępnych wersjach Windows Server 2003, Windows Viście oraz najnowszym produkcie koncernu z Redmond - Windows Server 2008. Sprawa jest o tyle skomplikowana, że choć problem dotyczy komponentu wbudowanego do systemu operacyjnego, to może on zostać wykorzystany do zaatakowania Windows poprzez aplikację webową działającą w serwerze IIS Microsoftu lub poprzez SQL Server.

"Aplikacje webowe zwykle uruchamiane są z minimalnymi przywilejami. Wykorzystując ten błąd napastnik mógłby uzyskać przywileje lokalnego użytkownika, a później - być może nawet administratora. Zresztą status lokalnego użytkownika wystarczy do przeprowadzenia całkiem sporej liczby operacji" - komentuje Andrew Storms, szef działu bezpieczeństwa firmy nCircle Network Security.

Warto przypomnieć, że lukę oraz mechanizm jej wykorzystania do zaatakowania komputera w zarysie opisał już kilka tygodni temu argentyński specjalista ds. bezpieczeństwa, Cesar Cerrudo. Microsoft wydał wtedy oficjalne oświadczenie w tej sprawie - wynikało z niego, że koncern nie traktuje problemu opisanego przez Cerrudo jako luki w oprogramowaniu lecz jako "błąd projektowy". Rzecznik firmy przekonywał też, że specjalista nie przedstawił przekonywujących dowodów na to, że ów błąd może zostać wykorzystany do przeprowadzenia skutecznego ataku na Windows.

Teraz koncern raz jeszcze przeanalizował problem i przyznał, że w zabezpieczeniach Windows znajduje się luka. Warto jednak zaznaczyć, że dopiero teraz Cerrudo przedstawił - na ubiegłotygodniowej konferencji HITBSecConf2008 - szczegółowy opis owej luki.

Microsoft nie poinformował na razie, kiedy przygotowany zostanie patch rozwiązujący problem. Przypomnijmy, że kolejny pakiet poprawek dla produktów koncernu udostępniony zostanie w drugi wtorek maja (czyli 13.05). Więcej informacji o luce znaleźć można na stronie firmy.


Zobacz również