Thứ Hai, 30 tháng 11, 2009

Lỗi nặng trong IE8 biến các site 'an toàn' thành không an toàn

Major IE8 flaw makes 'safe' sites unsafe

Dan Goodin, The Register 2009-11-23

Theo: http://www.securityfocus.com/news/11565

Bài được đưa lên Internet ngày: 23/11/2009

Phiên bản mới nhất của trình duyệt Internet Explorer của Microsoft chứa một lỗi mà nó có thể là nguyên nhân cho các cuộc tấn công nghiêm trọng về an ninh chống lại các website mà bình thường là an toàn.

“Chúng tôi nhận thức được về một lỗi đáng kể ảnh hưởng tới XSS Filter trong IE8, và chúng tôi sẽ tiến hành các bước để giúp bảo vệ người sử dụng của chúng tôi bằng việc vô hiệu hóa cơ chế trên các đặc tính của chúng tôi cho tới khi một sửa lỗi được đưa ra”.

Người phát ngôn của Google

Lỗi trong IE8 có thể bị khai thác để giới thiệu XSS, hoặc scripting xuyên các site, các lỗi trên các trang web mà chúng đáng ra là an toàn, theo 2 nguồn của Register, người đã thảo luận về lỗi này trong điều kiện chúng không được xác định. Microsoft đã được nhắc về chỗ bị tổn thương này ít tháng trước, họ nói.

Thật chớ trêu, lỗi này nằm trong một bảo vệ được bổ sung bởi các lập trình viên của Microsoft cho IE8 mà chúng được thiết kế để ngăn chặn các cuộc tấn công XSS chống lại các site. Tính năng này làm việc bằng việc viết lại các trang bị tổn thương bằng việc sử dụng một kỹ thuật được biết tới như việc mã hóa đầu ra sao cho những đặc tính và giá trị gây hại bị thay thế bằng những thứ an toàn hơn. Một người phát ngôn của Google đã khẳng định có một “lỗi đáng kể” trong tính năng của IE8 nhưng đã từ chối cung cấp các chi tiết.

Không rõ làm thế nào những bảo vệ này có thể gây ra những chỗ bị tổn thương của XSS trong các website mà chúng đáng ra là an toàn. Michael Coates - một kỹ sư về an ninh ứng dụng cao cấp tại Aspect Security mà đã nghiên cứu sát sao tính năng này những đã không nhận ra được chỗ bị tổn thương này - phỏng đoán nó có thể gây ra cho IE8 viết lại các trang theo cách mà các giá trị mới này khích động một cuộc tấn công trên một site sạch.

“Nếu một kẻ tấn công có thể chỉ ra một lỗi theo cách mà IE 8 thực sự đang làm mà việc mã hóa đầu ra và sau đó tạo ra một chuỗi đặc chủng mà kẻ tấn công sẽ biết sẽ được truyền vào một cuộc tấn công thực sự, thì chúng có thể sử dụng điều đó để đưa vào một giá trị... mà thực sự gây ra một cuộc tấn công lên trang đó”, ông nói. “Điều này có thể là một cách để giới thiệu một cuộc tấn công trong một trang mà nó đáng ra đã không có một chỗ bị tổn thương”.

The latest version of Microsoft's Internet Explorer browser contains a bug that can enable serious security attacks against websites that are otherwise safe.

“ We're aware of a significant flaw affecting the XSS Filter in IE8, and we've taken steps to help protect our users by disabling the mechanism on our properties until a fix has been released. ”

Google spokesperson

The flaw in IE 8 can be exploited to introduce XSS, or cross-site scripting, errors on webpages that are otherwise safe, according to two Register sources, who discussed the bug on the condition they not be identified. Microsoft was notified of the vulnerability a few months ago, they said.

Ironically, the flaw resides in a protection added by Microsoft developers to IE 8 that's designed to prevent XSS attacks against sites. The feature works by rewriting vulnerable pages using a technique known as output encoding so that harmful characters and values are replaced with safer ones. A Google spokesman confirmed there is a "significant flaw" in the IE 8 feature but declined to provide specifics.

It's not clear how the protections can cause XSS vulnerabilities in websites that are otherwise safe. Michael Coates - a senior application security engineer at Aspect Security who has closely studied the feature but was unaware of the vulnerability - speculates it may be possible to cause IE 8 to rewrite pages in such a way that the new values trigger an attack on a clean site.

"If the attacker can figure out a flaw in the way IE 8 is actually doing that output encoding and then create a specific string the attacker will know will be transformed into an actual attack, they could use that to input a value ... that actually results in an attack firing on the page," he said. "This could be a way to introduce an attack into a page that didn't have a vulnerability otherwise."

Các cuộc tấn công là một cách điều khiển một URL của site để phun mã hoặc nội dung độc vào một trang web được tin cậy. Nhiều nhà quan sát an ninh đã tới coi những bảo vệ của IE8 như câu trả lời của Microsoft cho NoScript, một mở rộng phổ biến mà nó giúp ngăn cản XSS và các dạng tấn công khác chống lại người sử dụng trình duyệt Firefox.

Cuối chiều thứ năm, Microsoft đã nói cho The Register: “Microsoft đang nghiên cứu những khiếu nại mới của công chúng về một chỗ bị tổn thương trong Internet Explorer. Chúng ta hiện không biết về bất kỳ cuộc tấn công nào đang cố sử dụng chỗ bị tổn thương được khiếu nại hoặc về ảnh hưởng của khách hàng”.

Một khi cuộc điều tra của mình được kết thúc, hãng sẽ “tiến hành các hành động phù hợp”, bao gồm cả việc đưa ra một bản vá hoặc chỉ dẫn về cách làm thế nào người sử dụng có thể bảo vệ được chính họ chống lại sự khai thác này.

Khi Microsoft đã đưa ra những bảo vệ này, hãng cũng đã tạo ra một cách cho những quản trị web để viết đè lên tính năng này (bằng việc bổ sung đầu đề cho câu trả lời “X-XSS-Protection: 0)”. Một sự xem xét lại đối với 50 website được viếng thăm nhiều nhất chỉ ra rằng chỉ các đặc tính web được sở hữu bỏi Google thực sự có sự lựa chọn để làm thế này. Số lượng nhỏ các site khóa bảo vệ gợi ra câu hỏi chỗ bị tổn thương này lan truyền như thế nào.

Được hỏi vì sao Google lại bỏ sự bảo vệ này, một người phát ngôn của hãng đã viết trong một thư điện tử: “Chúng tôi nhận thức được về một lỗi đáng kể ảnh hướng tới XSS Filter trong IE8, và chúng tôi đã tiến hành các bước để giúp bảo vệ người sử dụng của chúng tôi bằng việc vô hiệu hóa cơ chế trên các đặc tính cho tới khi một sửa lỗi được đưa ra”. Ông ta đã không giải thích kỹ.

XSS attacks are a way of manipulating a site's URL to inject malicious code or content into a trusted webpage. Many security watchers have come to view the IE 8 protections as Microsoft's answer to NoScript, a popular extension that helps prevent XSS and other types of attacks against users of the Firefox browser.

Late on Thursday afternoon, Microsoft told The Register: "Microsoft is investigating new public claims of a vulnerability in Internet Explorer. We're currently unaware of any attacks trying to use the claimed vulnerability or of customer impact."

Once its investigation is finished, the company will "take appropriate action," including issuing a patch or guidance on how users can protect themselves against exploits.

When Microsoft introduced the protections, it also created a way for webmasters to override the feature (by adding the response header "X-XSS-Protection: 0"). A review of the top 50 most visited websites shows that only web properties owned by Google have actually opted to do so. The small number of sites blocking the protection calls into question how widespread the vulnerability is.

Asked why Google was forgoing the protection, a company spokesman wrote in an email:

"We're aware of a significant flaw affecting the XSS Filter in IE8, and we've taken steps to help protect our users by disabling the mechanism on our properties until a fix has been released." He didn't elaborate.

Bổ sung vào với việc đưa ra những chỗ bị tổn thương nghiêm trọng đáng kể trong các trang web, những bảo vệ XSS này có thể mang tới những kết quả không mong đợi khác. Đó là vì động cơ của nó thường làm yếu đi những đặc tính chấp nhận được một cách tuyệt vời thành tai hại tiềm tàng. Một ví dụ về lỗi đó là ở đây.

David Ross, một kỹ sư lâu năm về an ninh phần mềm của Microsoft, đã nói cho các lập trình viên thiết kế tính năng này hướng tới để đánh vào một sự cân bằng thực dụng bảo vệ người sử dụng và không làm đổ vỡ web.

“Chúng ta cần tìm cách để làm cho việc lọc tự động và không đau đớn và vì thế cung cấp lợi ích tối đa cho người sử dụng”, ông viết. “Tổng kết lại, XSS Filter sẽ chứng minh sự đáng giá của nó bằng việc nâng lên mức ngăn chặn và làm dịu bớt các dạng XSS phổ biến nhất được thấy trên web ngày nay, mặc định, cho người sử dụng IE8”.

In addition to potentially introducing serious vulnerabilities into webpages, the XSS protections can bring other undesirable results. That's because its engine frequently flags perfectly acceptable characters as potentially harmful. An example of such a false positive is here.

David Ross, a senior software security engineer for Microsoft, has saiddevelopers designing the feature aimed to strike strike a pragmatic balance between protecting users and not breaking the web.

"We needed to find a way to make the filtering automatic and painless and thus provide maximum benefit to users," he wrote. "In summary, the XSS Filter will prove its worth by raising the bar and mitigating the types of XSS most commonly found across the web today, by default, for users of Internet Explorer 8."

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.