Opravy Microsoftu: hrozí útok přes vložené fonty

11. 11. 2009

Sdílet

Microsoft pomocí 6 záplat opravil 15 chyb, které se týkají operačního systému, Wordu a Excelu. Žádná z nich neohrožuje Windows 7. Jedna ze zranitelností by mohla být útočníky zneužitelná už v brzké době.

Viz také: Microsoft vydá zítra 6 záplat

Z 15 chyb Microsoft hodnotí 3 jako kritické, dalších 12 má známku důležitých (2. místo v pořadí závažnosti). Odborníci pokládají za nejdůležitější aktualizaci MS09-065, která opravuje chybu v kernelu Windows (Win32k kernel mode driver). Týká se všech verzí podporovaných operačních systémů Microsoftu (tj. od Windows 2000) s výjimkou Windows 7 a Windows Server 2008 R2.

Útok může být veden přes Internet Explorer bez toho, aby uživatel vzdálené spuštění kódu jakkoliv zaznamenal, jde tedy o problém drive-by download. Zajímavé je, že i když chyba není v samotném prohlížeči, přesto by neměla ohrožovat uživatele jiných browserů než Internet Exploreru (viz dále).

Podle Microsoftu je vlastní problém v nesprávném zpracování fontů Embedded OpenType. Útok může být veden jak s použitím těchto fontů na webové stránce, tak i ve formátech Wordu a PowerPointu (tj. například pomocí dokumentů zaslaných e-mailem). Pokud někdo nechce instalovat záplatu, může tyto fonty v Internet Exploreru prostě zakázat (Nástroje-Možnosti-Zabezpečení-Vlastní úroveň-Stažení-Stažení písma) – s tím, že se mu v nejhorším nějaká stránka zobrazí ošklivě. Internet Explorer bude pro tuto zranitelnost zřejmě hlavním vektorem útoku, přimět někodo otevřít soubor ve formátu DOC nebo PPT je přece jen obtížnější.

Andrew Storms z firmy nCircle Network Security pro americký Computerworld uvedl, že Microsoft o této chybě zřejmě věděl již dříve – proto byla opravena ve Windows 7 RTM a Windows Server 2008 R2. Naopak systém Windows 7 RC podle Stormse zranitelný být může, pro ten již však Microsoft od vydání finálních Windows 7 aktualizace nevydává.

Názory na tuto záležitost se různí (mohlo jít například o opravu kódu, ale až později se ukázalo, že chyba je současně bezpečnostní), není to ovšem příliš důležité. Fakt je, že informace o zranitelnosti zřejmě byly k dispozici už před vydáním opravy, takže útoky již mohou být v plném proudu – právě kvůli pro útočníky lákavé možnosti zneužití přes prohlížeč.

ICTS24

Oprava jiné kritické zranitelnosti byla vydána také pro systémy Vista, Server 2008 a Windows 2000 Server.