Internet Explorer smaže vaše dataPetr Mandík

Zatím největší bezpečnostní díra (alespoň podle slov některých analytiků) byla objevena v Microsoft Internet Explor...


Zatím největší bezpečnostní díra (alespoň podle slov některých analytiků) byla
objevena v Microsoft Internet Exploreru. Chyba umožňuje prostřednictvím MS
Excelu, MS PowerPointu nebo MS Accessu spustit na uživatelově počítači
libovolný kód ve Visual Basicu. Částečné řešení je již k dispozici na webových
stránkách Microsoftu, kde
naleznete i záplatu na nejnovější (rovněž značně závažnou) chybu Outlooku.
Výše zmíněnou chybu MS Exploreru objevil již minulý měsíc známý bulharský
hledač bezpečnostních děr Georgi Guninski, teprve nyní však byla celá
záležitost zveřejněna a byla uvolněna částečná záplata. Nebezpečí objevené díry
spočívá ve skutečnosti, že k napadení stačí, když si potenciální oběť bude
pouze prohlížet webové stránky útočníka. Nemusí tedy spouštět žádné programy
ani otevírat přílohy e-mailu.
Názory zvenčí
Zjištěnou bezpečnostní díru dělá velmi nebezpečnou především skutečnost, že
umožňuje neznámému útočníkovi převzít kontrolu nad počítačem oběti. "Dovolí
crackerovi cokoli, co mohu se svým počítačem dělat já jako jeho uživatel," říká
Alan Paller, ředitel SANS (System Administration, Networking and Security
Institute), nezávislé neziskové instituce zaměřené na výzkum a vzdělávání v
oblasti informační techniky. Chyba tedy dovoluje útočníkovi mj. i editaci
souborů, jejich mazání nebo posílání na libovolnou e-mailovou adresu bez vědomí
uživatele.
"Tady opravdu končí veškerá legrace," komentoval díru Ryan Russell, manažer
informačních systémů u SecurityFocus.com a moderátor Bugtraqu
(www.ntbugtraq.com). "Zatím však nebyly z firem hlášeny žádné případy, kdy by
došlo k úniku nebo ztrátě dat v důsledku této chyby," dodává.
Problémy přitom (podle zdrojů SANS a Microsoftu) hrozí všem uživatelům Windows
95/98/NT 4.0 (Workstation)/2000, kteří mají nainstalovaný Microsoft Access
97/2000, Excel 2000 nebo PowerPoint 97/2000 a současně používají Internet
Explorer 4.0 nebo vyšší (včetně nejnovější verze 5.5). Doporučení Microsoftu,
jak se vypořádat s touto chybou, v případě Accessu zní: "Nastavte heslo pro
účet administrátora Accessu. To způsobí, že se MS Access bude ptát uživatele na
heslo vždy, když by mělo dojít k otevření databáze a spuštění jakéhokoli
programu napsaného ve Visual Basicu for Applications v Accessu. Pokud jde o
stejný problém v Excelu a PowerPointu, pro ně již byla zveřejněna záplata,
která chybu opravuje.
Další chyba
Neméně závažná chyba byla odhalena rovněž v MS Outlooku. Ta také umožňuje
spustit libovolný kód na počítači uživatele a opět bez nutnosti, aby uživatel
provedl nějakou potenciálně nebezpečnou operaci, např. otevřel přílohu e-mailu.
Podle Microsoftu se chyba nachází v souboru Inetcomm.dll. Zde je umístěn kód
pro obsluhu bufferu, do kterého se ukládají headery e-mailů, když se stahují
prostřednictvím POP3 nebo IMAP4. Pokud je zaslán e-mail, díky kterému buffer
přeteče, klient může provést kód, který nastražil odesílatel e-mailu.
Chyba by se neměla týkat uživatelů, kteří k přenosu pošty používají MAPI.
Opravená verze Inetcomm.dll se dodává mj. jako součást Outlooku Express 5.5,
takže zákazníci, kteří nainstalovali tento program, už nemusejí použít žádné
další záplaty. Outlook Express 5.5 je mj. součástí Internet Explorer 5.01
Service Packu 1 a Internet Exploreru 5.5 (kromě varianty, která je součástí
instalace Windows 2000). Ostatní uživatelé by měli použít výše zmíněnou záplatu.
Co s tím
Odborníci na bezpečnost se přou o to, která z výše uvedených chyb je
nebezpečnější. Ve prospěch "vítězství" problémů s Outlookem hovoří fakt, že k
jejich projevům není třeba dalšího programu, proti nim pak skutečnost, že
vytvořit nebezpečný e-mail vyžaduje hlubokou znalost problému. Naopak ve
prospěch Exploreru mluví jeho masivní rozšíření, stejně jako množství uživatelů
dalších ke vzniku problémů potřebných programů, např. Excelu.
Vzhledem k neklesajícímu množství nově objevovaných chyb lze doporučit návštěvu
stránky www.microsoft.com/technet, kde najdete nejen jejich seznam, ale také
přehled doporučených řešení a aktuální záplaty. Provozovat aplikace bez záplat
je riskantní a obzvláště v podnikovém prostředí mohou vzniknout velmi vysoké
škody.
Nově ohlášené chyby a jejich částečné řešení přichází právě v okamžiku, kdy
Microsoft vehementně propaguje novou verzi Internet Exploreru 5.5. Ta přináší
řadu vylepšení, mj. zrychlené zobrazování stránek s rámy (a vůbec lepší podporu
rámů), vylepšenou podporu multimédií (mj. prostřednictvím SMIL Synchronized
Multimedia Integration Language), zdokonalené chování modelu komponent, lepší
podporu CSS 1 nebo nové služby pro editaci HTML. Nový Internet Explorer má být
také výrazně stabilnější než jeho předchůdce. Na závěr pouze připomínáme, že i
MS Explorer 5.5 obsahuje první z výše zmíněných chyb, a je tedy třeba přijmout
již zmíněná bezpečnostní opatření.
0 2062 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.