Uživatele Internet Exploreru ohrožuje zpracování MHTML

31. 1. 2011

Sdílet

Microsoft varuje před novou neopravenou zranitelností, která spočívá ve způsobu, jak Windows zpracovávají formát MHTML (MIME HTML). Zero day chyba je zneužitelná přes webový prohlížeč.

Andrew Storms z firmy nCircle Security popisuje zranitelnost jako de facto variantu cross-site scripting. Pokud např. uživatel navštíví podvodnou webovou stránku a je přitom připojen ke GMailu nebo Hotmailu, útočník může převzít jeho identitu (zřejmě sice nevidí přímo přihlašovací údaje, ale ovládne session, tj. může rozesílat spam nebo se třeba pokusit nastavení účtu změnit). Taktéž se může pokusit instalovat na napadený počítač malware, byť zřejmě ne přímo způsobem drive-by download.

Zranitelnost vešla ve známost minulý týden, kdy byl útok proti ní ve stylu proof-of-concept popsán na čínském webu WooYun.org.

MHTML je způsob, jak se obsah webu v různých formátech (Flash, Java, obrázky, text) dá vložit do jediného souboru a ten se pak zobrazí v prohlížeči. Jde tedy de facto o něco na způsob archivu, který lze ale zobrazit přímo bez toho, aby uživatel musel původní soubory extrahovat – asi jako jsou obrázky vložené přímo v DOC v jediném souboru s textem.

MHTML nepodporují ale všechny prohlížeče, nativně pouze Internet Explorer a Opera. Chrome a Safari neumí MHTML vůbec, Firefox pouze se speciálním rozšířením. Ačkoliv tedy vlastní chyba je ve Windows, ne v prohlížeči, zneužití by se měli obávat především uživatelé Internet Exploreru.

Problém se týká všech verzí Windows, od XP přes Vista až po Windows 7. Vyvinout opravu proto Microsoftu potrvá zřejmě déle a je krajně nepravděpodobné, že by se objevila už v úterý 8. února, kdy nastane další pravidelný termín pro uvolnění záplat.

Handler protokolu MHTML lze ale zamknout pomocí nástroje Fix It. Tímto způsobem se zautomatizuje proces úpravy registru Windows. Soubory MHTML obsahující skripty pak půjde otevřít jen po odkliknutí speciálního bezpečnostního varování.

Postup s nástrojem Fix It je k dispozici na webu Microsoftu.

 

bitcoin školení listopad 24

Microsoft uklidňuje, že masové útoky proti této zranitelnosti dosud nebyly zaznamenány.