IE, Firefox, Safari - dziurawa trójca

Internauci nie mają ostatnio łatwego życia - dość regularnie pojawiają się bowiem informacje o poważnych błędach w kolejnych przeglądarkach internetowych. Nie inaczej jest dziś - tym razem jednak sprawa jest wyjątkowo poważna, ponieważ problem dotyczy aż trzech popularnych przeglądarek: Internet Explorera, Firefoksa oraz przeznaczonego dla systemu Mac OS X programu Safari. Najpoważniejsza luka występuje w zabezpieczeniach IE - wykrył ją polski haker, Michał Zalewski (z którym udało nam się porozmawiać na ten temat). Problem związany jest z przetwarzaniem znaczników HTML - odpowiednio wykorzystany błąd może pozwolić nieautoryzowanym użytkownikom na uzyskanie nieautoryzowanego dostępu do zaatakowanej maszyny. Błąd nie jest jeszcze do końca zbadany, dlatego Zalewski zaleca: "panikujcie, ale tylko odrobinę". Co ciekawe, pojawienie się informacji o nowych błędach w IE zbiegło się w czasie z rozpoczęciem nietypowej akcji, której inicjatorzy zachęcają do "zniszczenia Internet Explorera".

Pierwsze informacje o błędach we wszystkich trzech przeglądarkach pojawiły się w miniony weekend - teraz zostały one potwierdzone przez firmy zajmujące się bezpieczeństwem (m.in. Secunia).

Dziura w IE - znów "wysoce krytyczna"?

Zdaniem ekspertów z Secunia, najgroźniejszym z nowowykrytych błędów jest ten znaleziony przez polskiego hakera, Michała Zalewskiego, w przeglądarce Internec 6. Problem związany jest z nieprawidłowym przetwarzaniem przez przeglądarkę odpowiedniej kombinacji zagnieżdżonych znaczników OBJECT. "Na pierwszy rzut oka wydaje się, że luka może pozwolić na zdalne uzyskanie dostępu do systemu (...). Błąd jest skomplikowany i z uwagi na brak źródeł trudny do sprawdzenia. Dlatego w tej chwili nie mogę przedstawić ostatecznego scenariusza ataku (...) Tak więc panikujcie - ale tylko odrobinę" - napisał Michał Zalewski w swoim raporcie.

Jak tłumaczy odkrywca błędu, problem na pewno dotyczy w pełni uaktualnionej przeglądarki , zainstalowanej w systemie Windows XP SP2. Możliwe, że na atak podatne są również inne wersje programu - jednak na razie nie zostało to sprawdzone. Informację o luce potwierdzili już przedstawiciele firmy Secunia, specjalizującej się w zagadnieniach związanych z błędami w popularnych aplikacjach. Ich zdaniem, błąd może posłużyć do stworzenia strony WWW, której wyświetlenie w IE umożliwi uruchomienie na zaatakowanej maszynie dowolnego kodu (np. robaka czy konia trojańskiego).

Problem sprawdzają w tej chwili pracownicy Microsoftu - z wydanego wczoraj przez firmę wstępnego oświadczenia dowiadujemy się, że koncern nie uważa problemu za tak poważny, jak sugeruje Secunia (firma uznała lukę za "wysoce krytyczną"). "Z pierwszych analiz wynika, że błąd ten może co najwyżej spowodować zawieszenie się lub niespodziewane zamknięcie Internet Explorer" - czytamy w oświadczeniu. Microsoft nie poinformował na razie, czy w najbliższej przyszłości możemy spodziewać się patcha usuwającego problem. Opinię Secunia potwierdził jednak - jak informuje serwis http://CNet.com - jeden z ekspertów firmy Symantec, który w nocie rozesłanej do użytkowników usługi DeepSight napisał, iż luka w IE teoretycznie umożliwia uruchomienie na zaatakowanej maszynie niebezpiecznego kodu.

Rozmawiamy z Michałem Zalewskim, polskim hakerem, który wykrył najnowszy błąd w zabezpieczeniach IE

PCWK Online Jak groźny jest wykryty przez Pana błąd? Czy możemy spodziewać się, że wkrótce pojawi się exploit i luka ta poważnie zagrozi użytkownikom Windows?

Michał Zalewski Według poszlak, na które natrafiłem przy analizie tego problemu, podejrzewam, że może on potencjalnie pozwalać na przejęcie kontroli nad systemem - chociaż mówię to z pewną ostrożnością, bo są to wyniki wstępne (z pewnych względów technicznych, które wyjaśniam na BUGTRAQ).

Ponieważ problem ten jest stosunkowo złożony, nie spodziewam się wykorzystania go np. do stworzenia robaka sieciowego w najbliższych dniach - z drugiej jednak strony, nie byłoby rozsądne zakładanie z góry, że tak się nie stanie.

Czy sądzi Pan, że błąd ten znany jest już autorom wirusów?

Takiej możliwości nie można wykluczyć, ale błąd ten raczej nie jest wykorzystywany do atakowania komputerów na dużą skalę, gdyż wtedy jego istnienie nie mogłoby się ukryć przez zbyt długi czas.

W raporcie pisze Pan, że na atak podatny jest Win XP SP2 - czy zamierza Pan również testować pod tym kątem inne systemy Microsoftu?

Według raportów od użytkowników innych wersji, są one również podatne.

Jak właściwie znajduje Pan takie błędy? Przypadkiem, czy to raczej kwestia metodycznego sprawdzania kodu pod kątem wszelkich słabości?

Oba sugestie są trafne są prawdziwe. Istnieje wiele metod, od systematycznego analizowania źródeł lub plików wykonalnych, przez zautomatyzowane ale losowe testy (tzw. fuzzing), do zupełnie przypadkowych odkryć.

Proszę powiedzieć, jaka jest procedura po wykryciu przez Pana błędu? Informuje Pan producenta aplikacji? Jeśli tak, to czy późniejsze podanie informacji o błędzie do publicznej wiadomości jest jakoś koordynowane z producentem programu?

W większości przypadków tak - za wyjątkiem sytuacji, gdy dany producent wykazuje się złą wolą (np. dąży do zatajenia problemów, nie rozwiązuje ich przez wiele miesięcy, atakuje środowiska badaczy tego typu problemów, itp).

W tym drugim przypadku zwykle zakłada się, że korzyści z natychmiastowego ujawnienia problemu (umożliwienie klientom ochrony we własnym zakresie, oraz spowodowanie nacisku ze strony klientów na producenta oprogramowania) przewyższają potencjalne zyski ze współpracy z dostawcą.

Tymczasowym, sugerowanym przez ekspertów z Secunia, sposobem zabezpieczenia się przed atakiem jest... nieodwiedzanie potencjalnie niebezpiecznych stron.