Chủ Nhật, 22 tháng 8, 2010

Nhà nghiên cứu: lỗi chạy mã nguồn ảnh hưởng tới 200 ứng dụng Windows

Researcher: Code-execution bug affects 200 Windows apps

Sẽ không có phương cách chữa trị nào cho màu xanh chết chóc cài cắm nhị phân

Ain't no cure for binary-planting blues

By Dan Goodin in San FranciscoGet more from this author

Posted in Malware, 20th August 2010 00:31 GMT

Theo: http://www.theregister.co.uk/2010/08/20/windows_code_execution_vuln/

Bài được đưa lên Internet ngày: 20/08/2010

Lời người dịch: Lại một lỗi chết người nữa của Windows khi tải các tệp nhị phân lên hệ điều hành để làm việc. Điều đáng nói ở đây là lỗi này có ảnh hưởng tới 200 ứng dụng chạy trên Windows và lỗi rất dễ bị khai thác và khi máy tính bị khai thác thì nó cũng dễ dàng lây sang các máy khác. Một phần của lỗi này đã được đề cập lần đầu từ 10 năm trước.

Khoảng 200 ứng dụng Windows bị tổn thương đối với các cuộc tấn công mã chạy được mà nó khai thác một lỗi trong khi các chương trình tải các tệp nhị phân cho hệ điều hành của Microsoft, một nhà nghiên cứu nói hôm thứ năm.

Chỗ bị tổn thương sống còn này, mà đã được và trong máy chơi phương tiện iTunes của Apple cho các cộng cụ của Windows và Vmware, sẽ đặc biết thách thức việc sửa lỗi, vì mỗi ứng dụng cuối cùng sẽ cần phải nhận được bản vá cho riêng nó, Mitja Kolsek, CEO của hãng tư vấn an ninh ứng dụng Acros Security, đã nói cho The Register. Ông đã đồng ý với bạn nghiên cứu H D Moore, người hôm thứ tư nói chỗ bị tổn thương sống còn này là dễ để khai thác.

Lúc này, Moore đã ước tính được có 40 chương trình đã bị tổn thương, nhưng các chuyên gia an ninh từ Acros có trụ sở ở Slovenia đã thấy rằng 200 trong số 220 ứng dụng mà họ đã kiểm thử cho tới nay chịu những gì mà họ gọi là lỗi cấy nhị phân. Họ còn phải hoàn tất yêu cầu của chúng.

“Chúng tôi đang mong đợi rằng sẽ có nhiều hơn”, Kolsek nói. “ chúng tôi chỉ mới tìm kiếm những chỗ bị tổn thương mà chúng đã bị khai thác khi người sử dụng nháy đúp vào một tài liệu hoặc làm một vài thứ với thực đơn”.

Các nhà nghiên cứu đã cảnh báo cho Microsoft về chỗ bị tổn thương này khoảng 4 tháng trước và đã và đang làm việc với các thành viên của đội an ninh của mình kể từ đó để phối hợp một sự sửa lỗi với nhiều bên bị ảnh hưởng. Họ đã và đang làm việc bí mật cho tới hôm thứ tư, khi thông tin về lỗi này lần đầu tiên bị rò rỉ ra ngoài, ông nói. Ông nói Microsoft có thể có khả năng đưa ra một số dạng sửa lỗi tạm thời trong khi thứ gì đó vĩnh cửu còn phải chờ.

About 200 Windows applications are vulnerable to remote code-execution attacks that exploit a bug in the way the programs load binary files for the Microsoft operating system, a security researcher said Thursday.

The critical vulnerability, which has already been patched in Apple's iTunes media player for Windows and VMware Tools, will be especially challenging to fix, because each application will ultimately need to receive its own patch, Mitja Kolsek, CEO of application security consultancy Acros Security, told The Register. He agreed with fellow researcher H D Moore, who on Wednesday said the critical vulnerability is trivial to exploit.

At the time, Moore estimated 40 programs were vulnerable, but security experts from Slovenia-based Acros have found that about 200 of the 220 applications they've tested so far suffer from what they're calling the binary-planting bug. They have yet to complete their inquiry.

“We are expecting that there should be many more,” Kolsek said. “We were just looking for those vulnerabilities that were exploitable in terms of the user double-clicking a document or doing a couple of things with the menu.”

Acros researchers alerted Microsoft to the vulnerability about four months ago and have been working with members of its security team since then to coordinate a fix with the many affected parties. They had been working in secret until Wednesday, when word of the bug first leaked out, he said. He said Microsoft may be able to release some sort of temporary fix while something more permanent is pending.

Tối thứ tư, một nữ phát ngôn viên của Microsoft đã nói hãng đã nghiên cứu báo cáo và có thể đưa ra nhiều chi tiết hơn khi yêu cầu được kết thúc. Bài này sẽ được cập nhật nếu Microsoft có bất kỳ thứ gì đó mới để nói.

Chỉ những phần mềm khác được biết sẽ bị ảnh hưởng là một hoặc nhiều thành phần trong Windows. Cả Moore và Kolsek đã từ chối cung cấp những chi tiết xa hơn, ngoại trừ đối với một bài trên Twitter từ bài viết của Moore mà nói rằng chỗ bị tổn thương này có thể đã được báo cáo, một phần, 10 năm về trước. Moore cũng viết bài trên tweeter rằng thông tin bổ sung có thể tới vào thứ hai.

Cho tới nay, những gì được biết về chỗ bị tổn thương này hầu như tới từ một nhà tư vấn Acros được đưa ra cho bản vá của iTunes. Lỗi này cho phép những kẻ tấn công chạy các mã độc hại trên các máy Windows bằng việc để máy chơi phương tiện mở một tệp nằm trên cùng mạng chia sẻ như một tệp DLL được thiết kế một cách độc hại, báo cáo nói. Trong một số trường hợp, các lỗi có thể được khai thác để chạy các tệp EXE và các dạng tệp nhị phân khác, Kolsek nói.

Cho tới khi có một sửa lỗi, người sửa lỗi có thể làm giảm đi sự phát lộ của họ bằng việc khóa các kết nối SMB ra ngoài trên các cổng 445 và 139 và trên WebDAV, nhưng Kolsek, lặp lại rằng sẽ không làm gì để ngăn cản các cuộc tấn công mà khởi phát trên các mạng cục bộ, và rằng có thể là một vấn đề trong những tổ chức lớn, nơi mà những tổn thương của một máy tính có thể được sử dụng như một điểm từ đó nhảy đi để lây nhiễm các máy tính cá nhân hoặc các máy trạm khác.

“Để chiếm hữu một máy tính duy nhất trong một mạng là rất dễ”, ông nói. “Dạng chỗ bị tổn thương này có thể thực sự là dễ dàng để có từ máy tính này cho việc chiếm hữu một số máy tính có quan tâm hơn, ví dụ, những máy tính thuộc về những quản trị viên. Tường lửa bên ngoài rõ ràng không làm dừng được điều đó”.

On Wednesday evening, a Microsoft spokeswoman said the company was investigating the report and would release more details when the inquiry was completed. This article will be updated if Microsoft has anything new to say.

The only other software known to be affected is one or more components in Windows. Both Moore and Kolsek have declined to provide further details, except for a Twitter from post from Moore that said the vulnerability may been reported, in part, 10 years ago. Moore also tweeted that additional information would come on Monday.

So far, what's known about the vulnerability comes mostly from an advisory Acros issued for the iTunes patch. The bug allows attackers to execute malicious code on Windows machines by getting the media player to open a file located on the same network share as a maliciously designed DLL file, it said. In some cases, the bugs can be exploited to execute EXE files and other types of binaries, as well, Kolsek said.

Until a fix is in place users can lessen their exposure by blocking outbound SMB connections on ports 445 and 139 and on WebDAV, but Kolsek, reiterated that will do nothing to prevent attacks that originate on local networks, and that can be a problem in large organizations, where compromises of one machine can be used as a jumping-off point to infect other PCs or workstations.

“To own a single computer inside a network is very easy,” he said. “This type of vulnerability would make it really easy to get from this computer to owning some more interesting computers, for example, those belonging to admins. The external firewall would obviously not stop that.” ®

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.