Krytyczna dziura w IE wreszcie załatana

Po kilku tygodniach zwlekania, Microsoft udostępnił wreszcie uaktualnienie dla przeglądarki Internet Explorer, usuwające z niej krytyczny błąd w zabezpieczeniach (wykorzystywany już przez cyberprzestępców). Zbiorczy patch dla IE jest częścią kwietniowego pakietu uaktualnień dla produktów koncernu - oprócz niego znalazły się w nim łaty usuwające krytyczne błędy w systemie Windows oraz programie Outlook Express, a także luki w Windows FrontPage Server Extensions oraz SharePoint Team Services 2002.

Zgodnie z wcześniejszymi zapowiedziami kwietniowy pakiet uaktualnień zawiera łaty dla pięciu produktów Microsoftu.

10 dziur w IE

Najważniejszą z nich - i najbardziej oczekiwaną przez użytkowników - jest z pewnością poprawka dla przeglądarki Internet Explorer, usuwająca z niej w sumie 10 różnych błędów, w tym jeden oznaczony jako "krytyczny". Mowa tu o znanej od blisko miesiąca luce związanej z wadliwym przetwarzaniem przez przeglądarkę stron WWW z wykorzystaniem metody "createTextRange()". Błąd ten uważany jest przez ekspertów ds. bezpieczeństwa za wyjątkowo groźny - przede wszystkim dlatego, że już od kilku tygodni dostępne są exploity umożliwiającego wykorzystanie go do przeprowadzenia skutecznego ataku na system Windows.

Microsoft był ostro krytykowany za zwlekanie z udostępnieniem patcha - tym bardziej, że zaczęły się już pojawiać nieoficjalne uaktualnienia, usuwające problem (o jednym z nich pisaliśmy w tekście "eEye łata Internet Explorer"). Przedstawiciele koncernu tłumaczą teraz, że nie zdecydowali się na wcześniejsze opublikowanie łatki, ponieważ ich zdaniem użytkownicy Windows przyzwyczaili się już do regularnego udostępniania uaktualnień i zakłócenie tego cyklu mogłoby utrudnić im pracę.

Komentuje Przemysław Jaroszewski z CERT Polska

Najwięcej uwagi należy zwrócić na luki związane z Internet Explorerem. Jest to oprogramowanie wciąż bardzo popularne, często bywa wykorzystywane także jako komponent innych aplikacji (np. Gadu-Gadu). Kilka luk, których dotyczą kwietniowe łaty pozwala na zmuszenie przeglądarki do wykonania dowolnego kodu w systemie po załadowaniu odpowiednio spreparowanej strony. Choć wymaga to nakłonienia użytkownika do odwiedzenia takiej strony, nie musi to być szczególnie trudne tym bardziej, że ostatnio wykryta luka pozwala świetnie maskować adres rzeczywiście odwiedzanej strony. Najpoważniejszą z całej serii wydaje się luka dotycząca obsługi metody createTextRange(), na którą od dłuższego czasu istnieje działający exploit.

Liczba ataków wzrośnie?

Zdaniem ekspertów, w najbliższym czasie możemy spodziewać się wzmożonej aktywności różnego rodzaju cyberprzestępców - jak tłumaczy Jonathan Bitle z firmy Qualys, jest bardzo prawdopodobne, że zainteresują się oni możliwościami wykorzystania ujawnionych właśnie przez Microsoft błędów (większość z nich nie była wcześniej znana). Dlatego ważne jest, by użytkownicy jak najszybciej pobrali i zainstalowali udostępnione przez koncern uaktualnienia. "Nowych luk jest sporo - nie zdziwię się, jeśli przestępcy spróbują je wykorzystać. Z informacji dostarczonych przez Microsoft wynika, że szczególnie podatni na ataki mogą być niedoświadczeni użytkownicy, których dość łatwo można skłonić do pewnych nierozsądnych zachowań" - tłumaczy Bitle.

Na opisane powyżej zagrożenia narażona jest przeglądarka Internet Explorer w wersji 5.x i 6.x.

Warto wspomnieć, że uaktualnienie dla IE wprowadza do konfiguracji przeglądarki kilka zmian niezwiązanych z bezpieczeństwem - chodzi tu o modyfikacje kontrolek ActiveX, których wprowadzenie jest wynikiem przegrania przez Microsoft sporu patentowego z firma Eolas Technologies oraz Uniwersytetem Kalifornijskim. Dla użytkowników oznaczać to będzie, że do odtworzenia niektórych animacji na stronach WWW niezbędne będzie wydanie dodatkowych poleceń.

Dziura w Windows też krytyczna

W pakiecie znalazł się również patch usuwający krytyczny błąd w systemie Windows - jest on związany z obsługą obiektów COM (Component Object Model). Umożliwia on uruchomienie na zaatakowanej maszynie niebezpiecznego kodu - do tego celu wystarczy skłonienie użytkownika do wyświetlenia odpowiednio zmodyfikowanej strony WWW (poprzez którą zostanie on połączony ze zdalnym serwerem plików). Problem dotyczy wszystkich wersji Windows. Trzecie krytyczne uaktualnienie przeznaczone jest dla kontrolki ActiveX, wchodzącej w skład pakietu Microsoft Data Access Components (wchodzące w skład Windows).

OE załatany

Kolejne uaktualnienie (w skład którego wchodzą dwie poprawki) przeznaczone jest dla programu pocztowego Outlook Express - usuwa ono błąd związany z obsługą książek adresowych w formacie .WAB. Z informacji dostarczonych przez Microsoft wynika, że błąd ten może posłużyć zdalnemu napastnikowi do przejęcia pełnej kontroli nad systemem. Ostatnia łata - oznaczona jako "ważna" - przeznaczona jest dla pakietu Microsoft Front Page Server Extensions.

Szczegółowy opis wszystkich udostępnionych przez Microsoft uaktualnień znaleźć można na stronie koncernu. Najwygodniejszym sposobem pobrania łatek jest skorzystanie z mechanizmu Microsoft Update.