Attacks on newly discovered vulnerability in IE 6 and 7
10 March 2010, 13:44
Bài được đưa lên Internet ngày: 10/03/2010
Lời người dịch: Có lẽ chuyện lỗ hổng an ninh với Windows và IE là thứ gì đó nếu bạn cố gắng viết về nó cho đủ thì sẽ phải viết hàng ngày, và lần này là một tổn thương của IE đối với thành phần iepeers.dll.
Microsoft đang cảnh báo về một chỗ bị tổn thương chưa được vá trong Internet Explorer 6 và 7, mà đã đang bị khai thác trong các cuộc tấn công có chủ đích để lây nhiễm các máy tính cá nhân Windows với một Trojan. Theo Microsoft, vấn đề này xảy ra do những con trỏ bị xóa không đúng cách, mà vẫn có thể truy cập được sau các đối tượng được tung ra. Mã nguồn bị tấn công sẽ chạy với các quyền của người sử dụng. Lỗi này là trong thành phần iepeers.dll.
Microsoft nói hãng sẽ “tiếp tục theo dõi” tình trạng này - như khi có chỗ bị tổn thương F1 trong Internet Explorer mà vẫn còn giữ chưa được vá từ đầu tuần trước - và việc xem xét tiếp theo của vấn đề này. Dựa vào sự kết thúc điều tra của họ thì họ sẽ quyết định liệu có hay không việc công bố một bản vá nằm ngoài chu kỳ. Họ khuyến cáo người sử dụng chuyển sang Internet Explorer 8 vì nó không bị ảnh hưởng. Hơn nữa, Chế độ được Bảo vệ trong Internet Explorer trên Windows Vista hoặc hệ điều hành Windows sau này hạn chế ảnh hưởng của cuộc tấn công này vì một cuộc tấn công chỉ gây ra theo các quyền hệ thống bị hạn chế.
Như một sự lựa chọn, người sử dụng cũng có thể chuyển sang Firefox, Opera, Chrome hoặc Safari. Tuy nhiên, ngay cả những trình duyệt này cũng có những chỗ bị tổn thương, mà chúng không bị tấn công thường xuyên như Internet Explorer. Vì các nghiên cứu đã chỉ ra rằng trong nhiều trường hợp là có lỗi trong Adobe Reader và các cài cắm Flash mà bị khai thác để lây nhiễm một máy tính cá nhân thông qua web, an ninh cảm nhận được của trình duyệt đóng một vai trò nhỏ hơn so với trước.
Như một sự khắc phục, Microsoft cũng khuyến cáo hạn chế các quyền đối với thành phần lỗi iepeers.dll và chỉ dẫn cách làm thế nào để điều này có thể được thấy trong báo cáo gốc ban đầu của Microsoft. Tuy nhiên, điều này có thể có nghĩa rằng một số chức năng không còn làm việc được đúng nữa. Hơn nữa, báo cáo này mô tả việc Vô hiệu hóa Active scripting và chuyển sang chế độ bảo vệ chống việc thực thi dữ liệu (DEP).
Vì Outlook, Outlook Express và Windows Mail mở thư điện tử HTML mặc định trong vùng các site bị hạn chế Restricted nên các kiểm soát Active Scripting và ActiveX được ngăn ngừa, chỗ bị tổn thương không thể được khai thác thông qua những chương trình thư này. Tuy nhiên nếu một người sử dụng nháy vào một thư điện tử thì họ có thể vẫn bị tổn thương.
Microsoft is warning of an unpatched vulnerability in Internet Explorer 6 and 7, which is already being actively exploited in targeted attacks to infect Windows PCs with a Trojan. According to Microsoft, the issue is caused due to improperly deleted pointers, which are still accessible after objects are released. The injected code will run with user privileges. The bug is in the component iepeers.dll.
Microsoft says it will "continue to monitor" the situation – as already there is the F1 vulnerability in Internet Explorer which remains unpatched from the beginning of last week – and further examine the problem. Upon completion of their investigation they will decide whether or not to publish an out-of-cycle patch. They recommend users switch to Internet Explorer 8 as it is not affected. In addition, Protected Mode in Internet Explorer on Windows Vista or later Windows OS limits the impact of this attack because a successful attack only results in very limited system rights.
Alternatively, users can also switch to Firefox, Opera, Chrome or Safari. However, even these browsers have vulnerabilities, but they are not attacked as frequently as Internet Explorer. Since studies have shown that in most cases it is holes in Adobe Reader and Flash plug-ins that are exploited to infect a PC via the web, the perceived security of the browser plays a smaller role than before.
As a workaround, Microsoft also recommends restricting permissions on the faulty component iepeers.dll and instructions on how to do this can be found in the original Microsoft report. However, this may mean that some functions no longer work correctly. In addition, the report describes Disabling Active scripting and turning on the Data Execution Prevention (DEP) protection.
Because Outlook, Outlook Express and Windows Mail open HTML email by default in the Restricted sites zone were Active Scripting and ActiveX controls are prevented, the vulnerability cannot be exploited through these mail programs. However if a user clicks a link in an email they could still be vulnerable.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.