Patch (petic) pentru Internet Explorer
Astăzi (n.r. 21 ianuarie) în jurul orelor 20, Microsoft şi-a respectat graficul, lansând o actualizare de securitate ce rezolvă infama vulnerabilitate „Aurora”, plus încă alte şapte probleme, ce-i drept mai puţin cunoscute. Dintre acestea, mi-a atras atenţia o vulnerabilitate XSS (cross-site scripting), ce ar fi permis rularea de la distanţă a unui cod maliţios, graţie unui URL falsificat întocmai în acest sens. O ştire de prima pagină în alte circumstanţe, notă de subsol dată fiind situaţia curentă.
Detalii despre această actualizare găsim în „Buletinul de securitate Microsoft MS10-002”, însă ceea ce mi s-a pare cel mai important, este că patch-ul (sau peticul) este pus la dispoziţia utilizatorilor prin intermediul sistemului de actualizare automată (eng. automatic updates). Tot ce aveţi de făcut este să NU blocaţi procesul automat (sau semi-automat în cazul meu) şi să aşteptaţi, cuminţi, actualizarea în cauză. Evident, ea va fi una specifică sistemului de operare folosit şi versiunii de Internet Explorer prezente.
Cei care grăbesc sau din varii motive nu au acces la site-ul oficial de update, pot opta pentru o descărcare / instalare manuală, după cum urmează:
Internet Explorer 6
Internet Explorer 7
- WindowsXP-KB978207-x86
- WindowsXP-KB978207-x64 / WindowsServer2003
- Windows6.0-KB978207-x86 (Vista)
- Windows6.0-KB978207-x64
Internet Explorer 8
- WindowsXP-KB978207-x86
- WindowsXP-KB978207-x64 / WindowsServer2003
- Windows6.0-KB978207-x86
- Windows6.0-KB978207-x64
- Windows6.1-KB978207-x86 (Windows 7)
- Windows6.1-KB978207-x64
Legendă: x86 (sisteme de operare pe 32 de biţi) / x64 (sistem de operare pe 64 de biţi)
Tot pentru cei mai puţin răbdători, Sophos a făcut un rezumat al acelui buletin de securitate. Succint, sunt prezentate versiunile de Internet Explorer afectate, găsim o descriere a vulnerabilităţii şi codificarea Troj/ExpJS-N CVE-2010-0249. Să sperăm că nu vom mai auzi de Aurora prea curând.
Odată cu apariţia acestei actualizări, Secunia a scos Internet Explorer 8 din zona roşie. Asta e bine. Mai puţin încurajatoare sunt cele 3 recomandări, Secunia advisories, ce aşteptă o intervenţie viitoare. Drobul de sare a trecut… au rămas în urmă sărăţelele.
Pe de altă parte, Microsoft a confirmat existenţa unui alt bug, o vulnerabilitate în Windows Virtual DOS Machine (VDM) veche de circa 17 ani, fapt ce se pare că îi va ţine destul de ocupaţi în următoarea perioadă. Întâmplător sau nu, descoperirea a fost făcută de inginerul Tavis Ormandy, de la Google, acelaşi care sesizase şi problema rezolvată în urmă cu o săptămână de actualizarea obişnuită Microsoft, aşa numitul „patch tuesday”.
Fără a repeta ce spuneam în articolul trecut, nu ştiu dacă e gata cu Internet Explorer, dar mă bucur să observ că cei care au citit materialul respectiv, cât şi altele asemănătoare, au înţeles că securitatea nu se rezumă DOAR la folosirea anumit browser. Un cititor vorbea de Sandboxie. E o soluţie. Altcineva amintea despre dezactivarea script-urilor. Şi aşa e bine, iar unul dintre motivele pentru care folosesc Firefox este extensia NoScrip. Paranteză. Când Alex (computerica.ro) mi-a recomandat această extensie, am fost circumspect. Recunosc. Însă după ce am văzut minunăţiile ce bântuie pe internet şi am citit despre cazuri ce l-ar face inclusiv pe Freddy Krueger să aibă coşmaruri, mi-am revizuit punctul de vedere.
Nu uitaţi că sunteţi singurii răspunzători pentru ceea ce vi se întâmplă de internet şi nu puteţi „dormi” liniştiţi, cu gândul că altcineva veghează (sau lucrează) pentru voi.
La final…
Indiferent de browser-ul de internet pentru care optaţi, sunteţi bineveniţi pe acest site şi aţi observat probabil, că în ciuda unor mici inadvertenţe trecătoare, blogul Stefa Media este afişat corect de Firefox, Internet Explorer, Opera sau Chrome. Nu vă mai reţin. Peticiţi-l bine pe bătrânul Internet Explorer şi ne auzim data viitoare.
Materiale bibliografice:
- http://seclists.org/fulldisclosure/2010/Jan/341
- http://www.computerworld.com/s/article/9144078/Skip_Microsoft_s_critical_patch_focus_on_Adobe_s_experts_urge
- http://secunia.com/advisories/product/21625/
- http://www.microsoft.com/technet/security/bulletin/ms10-002.mspx
- http://www.pcmag.com/article2/0,2817,2358284,00.asp
- http://www.microsoft.com/technet/security/bulletin/ms10-002.mspx
- http://www.theregister.co.uk/2010/01/21/ie_emergency_patch_released/
Din ce citesc la tine inteleg ca si sistemul de operare al celor de la Microsoft are grave probleme de securitate. Este chiar utopic sa navighezi online. Inainte luam cate un amarat de virus de pe vreun cd nenorocit. Acum ei te asteapta la colt de strada in online sau iti vine pe nepusa masa in “casa” numita hdd.
Ca sa fiu 100% safe ar trebui sa scot laptopul din priza.
Microsoft se apără pentru întârzierea cu care au lansat patch-ul care repară vulnerabilitatea exploatată în operaţiunea Aurora invocând ciclul intern de scriere, testare, validare şi publicare a o oricărui produs. Eu tind să le dau crezare, având în vedere ce companie gigant este Microsoft, mi se pare firesc să existe un oarecare grad de inerţie.
Iar în privinţa vulnerabilităţii descoperite de inginerul Google, puţină lume spune că aceasta este exploatabilă doar de la consola calculatorului respectiv şi dacă eşti logat cu drepturi de utilizator. Lucru care-i scade automat din importanţă, din moment ce nu te poţi folosi de ea pentru a compromite un Windows de la distanţă, prin reţea.
Salut Emil şi mulţumesc pentru comentariu
Din păcate situaţia descrisă este destul de precisă, cele mai grave ameninţări venind de pe internet. Nu degeaba există intranet, reţele securizate şi pot să spun că măsurile de securitate sunt „draconice”.
Am amintit de respectiva vulnerabilitate fiindcă sunt curios dacă aceleaşi agenţii, vor recomanda acum utilizatorilor să renunţe la Windows. Sau e prea mult ?!
Salut
Bine ai venit pe acest blog. Îţi mulţumesc pentru comentariu, însă te rog ca data viitoare să încerci să foloseşti numele sau prenumele şi nu denumirea site-ului.
În altă ordine de idei, o informaţie ce nu era confirmată aseară, s-a verificat între timp, iar Microsoft se pare că ştia de respectiva vulnerabilitate, încă de anul trecut. Au aşteptat scandalul cu Google până să se apuce serios de treabă, o dovadă extrem de clară că trebuie schimbat ceva în echipa care gestionează Internet Explorer. Au fost făcuţi „ţăndări” în aceste zile.
Bine te-am găsit.
Microsoft nu a negat niciodată că n-ar fi ştiut de vulnerabilitatea cu pricina. Eu sincer mă îndoiesc că au scris patch-ul de la zero în câteva zile. Se pare că patch-ul era oricum programat pentru lansare în data de 9 februarie, scandalul Google nefăcând altceva decăt să grăbească cu vreo 2 săptămâni publicarea acestuia. Eu nu aş afirma că au fost făcuţi ţăndări, este foarte dificil să schimbi obiceiurile şi prejudecăţile utilizatorului de rând, create dea lungul unor anişori buni.
Foarte bune tutorialele despre securitate…Pot spune ca (eu,din pacate) abia acum vad defapt la cate riscuri ne supunem…
Am auzit de la un profesor pasionat de calculatoare ca un programator foarte bun (un hacker) foarte bun,poate sa acceseze un pc (daca are legatura la net) si poate sa-i stearga orice si oricat din calculator chiar sa-i dezinstaleze windowsul; sau mai rau un astfel de programator poate cica sa-ti faca,in asa fel incat sa ramii tai sa lucreze pentru el…
As dori sa confirmati sau sa infirmati acceste teze…si daca se poate asa ceva?ne putem apara oare?
Salut
@IT4Fans
Am mers pe ideea că un nume ar înlesni comunicarea şi ar oferi un plus de valoare comentariilor, dar dacă nu doreşti să te deconspiri, e perfect rezonabil şi numele de domeniu.
Chiar în această seară, Graham Cluley de la Sophos scrie de blogul său despre intervalul scurs între momentul confirmării acestei vulnerabilităţi (septembrie 2009), atacurile venite asupra Google şi data la care a fost lansat patch-ul. Nimeni nu poate spune cu exactitate dacă în tot acest timp, Microsoft a lucrat sau nu la remedierea situaţiei, însă nu este exclusă nici ipoteza, că fiind vorba de o vulnerabilitate ce afectează mai ales Internet Explorer 6, atitudinea celor care s-au ocupat de problemă, să fi fost ceva mai relaxată. Nimeni nu contestă faptul că vulnerabilitatea respectivă ar fi remediată mai devreme sau târziu, însă sunt sigur că dată foarte mulţi (inclusiv oficial MS) ar fi preferat mai devreme.
@alex008
Îţi mulţumesc pentru aprecieri, iar dacă aceste materiale îţi sunt de ajutor, mă bucur. Ca să-ţi răspund la întrebare, pot spune că atâta vreme cât între două sisteme (A şi B) se poate realiza o conexiune stabilă şi continuă, există posibilitatea acţiunii sistemului A asupra sistemului B şi viceversa, iar un exemplu care îmi vine rapid în minte este Remote Desktop Connection (aplicaţie legală). Hacker-ul despre vorbeşti ar face acelaşi lucru, doar că accesul este unul neautorizat şi se face folosind o vulnerabilitate a sistemului, respectiv o aplicaţie plasată pe calculatorul victimei. Obiectivul lor nu este să-ţi şteargă Windows-ul (ce-ar avea de câştigat ?!), ci să controleze cât mai multe sisteme (aşa numiţii boţi) care sunt folosiţi apoi în activităţi ilegale, cum a fost şi atacul asupra infrastructurii Google.
Cum ne putem proteja ? Depinde de nivel. În principiu, folosirea unui sistem de operare legal şi actualizat la zi, folosirea unui antivirus care să ofere protecţie activă, a unui firewall (de preferinţă cu HIPS şi Behavior Blocking) – Comodo e ok – şi în general un comportament preventiv, sunt suficiente pentru un utilizator obişnuit. Ca o măsură suplimentară de protecţie, dacă foloseşti un router, poţi să alege să blochezi alte porturi în afară de cele standard.
Protecţie absolută nu ştiu să existe, însă poţi face lucrurile suficient de dificile pentru eventualii „pretendenţi”, încât să nu se merite.