Microsoft zítra neopraví zero day chybu ve Windows

Zítřejší záplaty Microsoftu ponechají neošetřené vážné bezpečnostní problémy, když firma nestihla opravit Internet Explorer ani zpracování náhledů souborů ve Windows.


Kritická zero day zranitelnost Windows XP, Vista a Server 2003 a 2008 byla objevena již v polovině prosince, ale velkou pozornost přitáhla minulý týden, když bylo testování zranitelnosti zařazeno do nástroje Metasploit.

Vlastní problém je ve zpracování grafických formátů. Náhledy obrázků v Průzkumníkovi nebo ve správcích souborů mohou totiž v případě speciálně podvrženého grafického souboru vést až ke spuštění útočníkova kódu. Stejný problém může nastat při otevírání dokumentů Office s vloženými obrázky i při práci se samotnými grafickými soubory. Renderovací stroj Windows se obrázkem údajně „zalkne“, když je v kódu barev určitým způsobem použito záporné číslo.

Útok lze provést přes sdílené disky/složky, firemní síť i systém sdílení souborů WebDav, stačí si pak „vylistovat“ příslušný adresář. Pouze při návštěvě podvodného webu by tímto způsobem soubor jít podvrhnout nemělo.

Windows 7 a Windows 2008 Server R2 tímto způsobem zranitelné nejsou.

Útoku lze předejít úpravou atributů souboru shimgvw.dll, nicméně pak zase může dojít k problémům se zobrazováním náhledů příslušných souborů a vůbec s vykreslováním grafiky.

Není dosud jasné, zda Microsoft vydá mimořádnou opravu, v zítřejší várce záplat se náprava každopádně neobjeví. Firma ovšem tvrdí, že zatím nezaznamenala pokusy o zneužití této zranitelnosti.

Stejně tak se zítra nedočkáme opravy kritické chyby v Internet Exploreru objevené během Vánoc (Microsoft potvrdil kritickou chybu v Internet Exploreru). Ani v tomto případě podle Microsoftu zatím neprobíhají útoky v masovějším měřítku.

 











Komentáře