Home » SECURITATE ŞI INTIMITATE, Vulnerabilităţi » Vulnerabilitate de tip Ziua Zero (Zero-Day) în win32k.sys

Vulnerabilitate de tip Ziua Zero (Zero-Day) în win32k.sys

windows generic logoA trecut ceva vreme de la ultimul articol. Nu s-a întâmplat nici notabil (nici în bine, nici în rău), perioada de repaus fiind necesară pentru a-mi reamintit că blogul Stefa Media nu trebuie privit drept o obligaţie, nefiind constrâns în vreun fel de numărul articolelor, al comentariilor, de vizite sau vizitatori. Mai mult, în condiţiile în care atmosfera rămâne una destul de încinsă, nu avea rost să vă stresez zi de zi cu materiale ce ar contribui (involuntar sau nu) la o veritabilă după-amiază de câine (Dog Day Afternoon) şi nici acum n-aş fi intervenit, dacă n-ar fi existat semnale despre o nouă vulnerabilitate de tip Ziua Zero (Zero-Day) ce afectează sistemele de operare Windows (de la XP şi până la Windows 7).

Secunia a raportat problema încă din 6 august, după ce un cercetător în domeniul securităţii (Gil Dabah, cunoscut şi ca Akron) a postat pe blogul Heapos Forever o serie indicii despre o eroare de tip „buffer overflow” din driver-ul win32k.sys (mai precis în funcţia „CreateDIBPalette()”) ce apare atunci când se folosesc pentru câmpul „biClrUsed” valori mai mari de 256 (de culori) într-o structură „BITMAPINFOHEADER”. Fără a intra în detalii tehnice (găsiţi toate informaţiile necesare pe ragestorm.net ori secunia.com), utilizatorii de Windows pot sta liniştiţi deoarece situaţia nu este nici pe departe aşa de periculoasă precum au lăsat unele site-uri să se înţeleagă.

NU există un exploit care să permită persoanelor rău intenţionate să beneficieze de această vulnerabilitate, singurul risc reprezentându-l o escaladare a privilegiilor, obţinută DOAR prin accesul fizic la sistem. Un eventual exploit ar putea duce la rularea de cod maliţios (prin accesul direct la kernel), însă cel puţin la data când scriu aceste rânduri nu este cazul cazul.

Secunia Advisory SA40870

Buletinul Secunia Advisory SA40870, notează această vulnerabilitate ca una „mai puţin critică” (eng. less critical), gradul de periculozitate fiind stabilit la două steluţe din cinci. Sigur, după ce s-a întâmplat cu vulnerabilitatea din Windows Shell, utilizatorii de Windows nu pot fi condamnaţi că resimt o stare de angoasă la auzul acestor veşti, dar înainte de vedea manifestări ale unor vulnerabilităţi ce există doar pe hârtie, e bine să ne informăm din surse sigure.

secunia advisory sa40870

Pe de altă parte, luna august aduce din partea Microsoft numai puţin de 14 buletine de securitate ce remediază 34 de vulnerabilităţi (dintre care 8 socotite critice), unde îmi permit să atrag atenţia asupra utilitarului MSRT (Malicious Software Removal Tool) care a fost actualizat astfel încât să înlăture cu succes toate variantele viermelui de internet Stuxnet.

Prin importanţă se remarcă buletinele MS10-052 (o vulnerabilitate în codec-urile Microsoft MPEG Layer-3), MS10-055 (unde un alt codec, Cinepak, are probleme), MS10-056 (ce vizează Microsoft Office, şi în special utilizatorii care nu folosesc Vista sau Windows 7) sau MS10-060 (ce remediază o posibilă rulare de cod maliţios de la distanţă pe platformele Microsoft .NET Framework sau Microsoft Silverlight). Dar despre actualizările de securitate voi vorbi într-un articol separat, asta şi dacă apar probleme cu instalarea. Am văzut luna trecută (nr. iulie 2010) că astfel de incidente, deşi nedorite, rămân posibile.

La final…

În speranţa că nu va mai trece încă o săptămână până la viitorul articol, pun punct aici şi vă urez o seară după-amiază plăcută.

Materiale bibliografice:
  • http://www.esecurityplanet.com/features/article.php/3897671/Microsoft-Tracks-Another-Zero-Day-Vulnerability.htm
  • http://secunia.com/advisories/40870/
  • http://www.ragestorm.net/blogs/?p=255
  • http://threatpost.com/en_us/blogs/another-windows-7-zero-day-released-080910

Despre autor şi articol

a scris 281 articole pe blogul Stefa Media.


Student la Comunicare şi Relaţii Publice, cunoscător al jocurilor din perioada anilor '80 sau '90, interesat de IT şi WordPress, scriu despre ce-mi place şi, de cele mai multe ori, îmi place ceea ce scriu. Şi nu doar mie. De aceea continui.


Categorii: SECURITATE ŞI INTIMITATE, Vulnerabilităţi Etichete: actualizări, buffer overflow, buletin de securitate, Microsoft, Secunia, vulnerabilitate, vulnerabilitate critică, win32k.sys, WINDOWS, Zero-Day

  1. sergiu
    August 11th, 2010 la 19:30 | #1
    Răspunde | Citat

    Salut Andrei și bine ai revenit cu un nou articol. Ma bucur ca vii cu un articol,al cărui subiect deja luasem la cunoștința,citând Secunia aici…Nu e critic,însă s-au văzut multe in ultima perioada,asa ca…putina precauție nu face rău nimănui…Este bine de readus aminte,ca ACCESUL FIZIC LA PC PROPRIU,o faci in cunoștință de cauza sau… fără autorizația ta( ex in lipsa ta ),însă îți asumi riscuri extrem de mari,care pot avea un impact de mare amploare,in ceea ce privește intimitatea ta,sau ….te trezești cu pc in pioneze! Am văzut multe pana acum,am studiat des asemenea chestii,concluzionând in final ca cel mai înțelept:ACCES INTERZIS ORICUI pe pc personal egal cu liniștea ta sufleteasca…Asa gândesc eu,nu susțin ca trebuie să fie toți de acord….Mi-ar plăcea să aud și alte opinii! STIMA.

  2. andrei
    August 11th, 2010 la 19:49 | #2
    Răspunde | Citat

    Salut @sergiu

    Bine te-am regăsit :D Am rămas surprins de agitaţia produsă cu această vulnerabilitate (nejustificat aş putea spune), în condiţiile în care nu există un exploit şi nici semne care ar indica o asemenea ameninţare la orizont. Cât priveşte accesul fizic la sistem, multe companii au o politică extrem de strică, angajaţii fiind obligaţi să se de-logheze în momentul în care se ridică (fie şi pentru două minute) de la PC.

  3. andrei
    August 11th, 2010 la 22:02 | #3
    Răspunde | Citat

    Salut @AlexAMD şi bine ai venit pe blogul Stefa Media :D

    Mulţumesc pentru aprecieri cât şi pentru observaţia făcută (am corectat), şi permite-mi să te felicit pentru blog. Am observat că ori de câte ori încerc să schimb ceva în structura frazei folosind editorul din WordPress (după ce materialul a fost urcat pe server) rezultatele sunt dezolante (cuvinte în minus / sau în plus, exprimări a căror logică lasă de dorit, ş.a.m.d.).

  4. AlexAMD
    August 11th, 2010 la 21:48 | #4
    Răspunde | Citat

    Un articol frumos , ca toate articolele de pe acet blog. O mica greseala la inceputul articolului :
    ”….a-mi reamintit că blogul TREBUIE Stefa Media nu trebuie privit drept o obligaţie, nefiind….” Cuvantul scris de mine cu litere mari nu prea stiu ce cauta acolo.
    PS : Toti facem greseli ;) , succes in continuare cu blog-ul!

  5. happyday
    August 12th, 2010 la 22:01 | #5
    Răspunde | Citat

    hmmmm… nu-mi place deloc cum arata introducerea “pentru a-mi reamintit că blogul Stefa Media nu trebuie privit drept o obligaţie, nefiind constrâns în vreun fel de numărul articolelor, al comentariilor, de vizite sau vizitator”. sper sa fie o etapa trecatoare iar nenorocita blazare sa nu te invaluie pentru ca, sincer, suntem cativa omuleti care isi doresc din tot sufletul ca acest blog sa aiba continuitate :) . sper ca nu am gresit cu nimic folosind pluralul :) .

  6. andrei
    August 12th, 2010 la 22:28 | #6
    Răspunde | Citat

    Salut @happyday Dacă nu erau cei câţiva „omuleţi” extrem de entuziaşti, aş fi renunţat să-mi mai „tocesc” neuronii încă din primăvară :D . Nu ştiu dacă este blazare sau mai degrabă resemnare, dar e cert că acest blog n-a reuşit să-şi atragă acea masă critică de cititori care să-i permită o creştere „naturală”. Acum totul depinde de punerea (în sfârşit) în aplicare a anumitor proiecte şi doar atunci pot spera să ofer blogului susţinerea atât de necesară…

  7. cartim
    August 15th, 2010 la 22:19 | #7
    Răspunde | Citat

    Interesant , cred ca cu cat se va cereta mai mult despre sistemul de operare Windows (de toate tipurile lansate) se vor decsoperite din ce in ce mai multe brees de securitate.Nici un sistem nu este perfect.

    Bine ai revenit Andrei, bine am revenit si eu in online dupa un repaus prelungit .