вебмастер, фидошник
0,0
рейтинг
22 июля 2010 в 21:51

Разработка → Уязвимость Microsoft Windows, которую демонстрировал 0-day exploit 19 июля, оказалась многовекторною: сайты могут автоматически заражать читателей через Internet Explorer

Многие читатели помнят, как в понедельник 19 июля во блоге компании ESET на Хабрахабре появилась блогозапись, оповестившая о появлении вредоносной программы, способной проникать в систему через особым образом оформленные значки ярлыков.

В этой блогозаписи (в конце её) рекомендовалось ознакомиться с советами во блоге независимого исследователя (по имени Didier Stevens), который рекомендовал вырубить запуск файлов с USB и CD или загрузку их оттуда в память.

Многие расслабились, а меж тем на этом ничего не закончилось.

20 июля Корпорация Майкрософт выложила, а 21 июня сайт Security Lab перепечатал обновление прежнего известия. Обновление же гласит, что для атаки на июльскую уязвимость может и не быть нужна ни флэшка, ни сидюк (или дивидюк). Вместо этого атакующему достаточно создать особым образом некоторый сайт и дожидаться того только, чтобы пользователь зашёл на сайт при помощи Internet Explorer; и как только Windows попробует загрузить значок, на сайте указанный, всё будет кончено.

Вот теперь начинается настоящее веселье. В комментариях ко блогу ESET иронизировали, кажется, только поклонники Linux; но теперь, о! теперь настаёт наконец время призывать также к переходу на Firefox, Chrome, Safari, Opera, SeaMonkey, и так далее, и так далее. И неподдельный глубокий ужас охватит всех тех, кто лазает по Паутине через IE или через любое другое зловещее поделие, на IE основанное — Maxthon, Netscape в IE-режиме, Firefox с IE-вкладкою, Chrome Frame, и так далее, и так далее.

Судный день Эксплорера!
Mithgol the Webmaster @Mithgol
карма
61,5
рейтинг 0,0
вебмастер, фидошник
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (82)

  • +13
    Очередной веднекапец?
    • +27
      иекапец
      • 0
        *Вздох* *Выдох* пойду заварю кофе…
      • +7
        Да ну, обычное дело, будни IE :-)) Вон, выше (на главной Хабра) пост про критическую уязвимость в Safari. Завтра будет про FF, на след. неделе про Оперу. Все нормально, это компьютерная жизнь :-))
  • +3
    Надеюсь все будет так как вы написали.

    >И неподдельный глубокий ужас охватит всех тех, кто лазает по Паутине через IE или через любое другое зловещее поделие, на IE основанное — Maxthon, Netscape в IE-режиме, Firefox с IE-вкладкою, Chrome Frame, и так далее, и так далее.
    • 0
      Хотелось бы верить, но убежден, что большая часть заказчиков все равно будут требовать чтобы его сайт/верстка корректно отображался в «его любимом IE6 etc»
      • +17
        А я убежден, что большинство заказчиков будут требовать чтобы их сайт корректно отображался во всех браузерах, которыми пользуется внушительный процент потенциальной аудитории. И они будут правы, потому что это их бизнес. Клинические случаи (аргумент вида «мой любимый браузер») все же достаточно редки, лично я так вообще не встречался.
        • 0
          >которыми пользуется внушительный процент потенциальной аудитории
          здесь вы бесспорно правы, но к сожалению в практике имеют место случаи, когда несмотря на потенциальное отсутствие ЦА с браузерами типа ие6, заказчик настаивает на полной его поддержке. хоть и сам признает, что сайт врядли будут посещать пользователи с ие6. Корпоративный сегмент, бизнесс сайты и т.п. — да, должны поддерживаться в ие6 как минимум до окончания официальной поддержки со стороны MS. Но когда требуют поддержки ие6 в игровых проектах и т.п., лично я считаю это абсурдом.
          • +2
            Ну вообще-то IE6 уже официально не поддерживается. Совсем недавно ведь похороны были.
            • 0
              ну похороны похоронами, но тем не менее официальная поддержка Windows XP в которую входит ИЕ6 заканчивается 8.04.2014. Именно до этого времени MS и будет клепать заплатки для критических уязвимостей. support.microsoft.com/lifecycle/?LN=en-gb&x=16&y=12&C2=1173
              • +3
                Так заплатка для IE6 создана. IE8
          • +3
            Просите доп. плату за ие шестой как за устаревший браузер и дело решено.
  • НЛО прилетело и опубликовало эту надпись здесь
    • –16
      Ахам брахмасми!
      Аллах Акбар!
      • +5
        Пативэны Интерпола, ЦРУ и МОССАДа уже выехали ;)
  • +23
    интересная новость это когда IE не заражает компы, и не подвержен уязвимостям. а так, это даже новостью сложно назвать
  • НЛО прилетело и опубликовало эту надпись здесь
  • +32
    Просто интересно — сколько сплоит прожил в привате и сколько, и в каком формате за это время было сформировано ботнетов. Это ж долбануться.
    • +7
      У меня есть гениальная мысля. А почему никто не догадался этой уязвимостью воспользоваться в благих целях. Удалить IE с компа и установить Хром, Лису. Сменить обои на радостные и написать приятные слова. Жаль что я не хацкеррр :)
  • +6
    Нехорошо так говорить, но этот вирус кажется полезным.
    • 0
      Он фактически и не вирус — слишком узкоспециализированный. Куда ему до масштабов приснопамятного Кидо! Однако надо понимать, что опубликованная уязвимость, её масштабы и отсутствие патча уже привлекли внимание вирусмейкеров. так что в ближайшее время стоит ожидать более серьёзных поделок, чем Stuxnet.
  • 0
    Chrome Frame не основан на IE, это хром показываемый в окошке IE, т.е. рендерингом занят webkit.
    • +3
      Рендерингом-то занят WebKit, а кто показывает значки в строке адреса и в закладках? Ась?
      • +2
        IE может пытаться затащить в favicon только ICO/PNG/JPG, Поэтому .lnk или .pif туда никак попасть не могу(если конечно там нет ещё какой-то уязвимости). Я к сожалению не смог найти злонамеренной страницы, но уверен что ярлыки будут размещены в содержимом страницы, а не в favicon.
        • +1
          я уже час сижу и придумываю способ как это реализовать… но пока fail
        • 0
          Даже если так — .lnk и .pif не содержат графических данных и по-хорошему должны быть просто проигнорированы браузером.
        • +1
          Верно. Вот как описывает возможный механизм заражения TrendLabs:
          Malicious website. If the bad .LNK file is placed on a website that displays file icons, it can force Internet Explorer to check the right icon to be displayed, thus triggering exploitation. The likely candidates are pages that let users upload and download files such as a webmail client. This would affect the user as soon as the email with the attached shortcut file is opened without the need for the user to actually download the file. It is a real possibility that some Web mail software might encounter if they try to display the shortcut’s icon. We cannot confirm if this is a real scenario yet, however.
      • –1
        К чему вообще сюда Chrome Frame приплели? Валить так уж всех?
        Chrome Frame — это Chrome внутри IE, а не наоборот. Не путайте теплое с мягким.
        • +3
          Правильно: Chrome Frame — это Chrome внутри IE, притом включающийся только в ответ на код <meta http-equiv="X-UA-Compatible" content="chrome=1" />

          Поэтому ходить им по Паутине — всё то же минное поле. Злоумышленник уж конечно не будет снабжать этим кодом свой сайт, так что достаточно перейти по зловещей гиперссылке, как тотчас же режим Chrome отрубится и эксплоит будет задействован.
          • 0
            Правильно: Chrome Frame — это Chrome внутри IE, притом включающийся только в ответ на код <meta http-equiv=«X-UA-Compatible» content=«chrome=1» />
            Хочу поправить неточность. На деле можно ещё выдать HTTP-заголовок и пользователь сам может указать явно, что хочет зайти на сайт через Chrome Frame, достаточно указать «cf:» перед адресом.
            • 0
              Ваши поправки совершенно справедливы, однако должен заметить, что на основной вывод они не влияют.
      • НЛО прилетело и опубликовало эту надпись здесь
  • +2
    Не совсем понял, причем тут IE? В бюллетене MS (на который ссылается securitylab) написано только вот это —
    This vulnerability can be exploited locally through a malicious USB drive, or remotely via network shares and WebDAV. An exploit can also be included in specific document types that support embedded shortcuts.
    что из этого списка относится конкретно к браузеру?
    • –1
      Цитата оттуда же (из раздела «Frequently Asked Questions») гласит:
      How could an attacker exploit the vulnerability?

      An attacker could present a removable drive to the user with a malicious shortcut file, and an associated malicious binary. When the user opens this drive in Windows Explorer, or any other application that parses the icon of the shortcut, the malicious binary will execute code of the attacker’s choice on the victim system.

      An attacker could also set up a malicious Web site or a remote network share and place the malicious components on this remote location. When the user browses the Web site using a Web browser such as Internet Explorer or a file manager such as Windows Explorer, Windows will attempt to load the icon of the shortcut file, and the malicious binary will be invoked. In addition, an attacker could embed an exploit in a document that supports embedded shortcuts or a hosted browser control (such as but not limited to Microsoft Office documents).
      • +1
        Не знаю всей этой кухни, поэтому интересно вот что, может кто объяснит. Тут написано, что если пользователь зайдет на зараженную страницу браузером, таким как IE, то Windows загрузит иконку ярлыка, ну и приплыли. А если другим браузером на страницу зайти, то Windows этого делать не будет, я правильно понимаю?
        • +17
          Судя по отсутствию ответов, вывод неутешительный. MS не писала, что это баг IE (обычно она пишет это в явном виде), лишь упомянув, что он один из нескольких браузеров (и возможно из всех!) с помощью которых можно словить этого червя. Security Lab лаконично передернула затвор и отбросила «such as» из уже своей статьи недвусмысленно указывая, что MS нашла еще один вектор в виде бага IE. Мицгол передернул затвор еще раз, разведя гротескный пафос по поводу этого бага IE, того «неподдельного глубокого ужаса» и срочного перехода на другие браузеры. N-ное количество людей взяло под козырек и поддакнуло. И все это без отсутствия понимания как этот вектор заражения вообще работает. Прекрасно, господа.

          Мне нет никакого дела до IE, но так нельзя. Особенно на хабре
          • 0
            Вы сделали так много интересных выводов из отсутствия ответов с половины двенадцатого до половины второго ночи, притом в ночь на пятницу, когда большинство обитателей московского часового пояса спит.

            Однако у меня есть возражение по существу этих выводов.

            Выражение «таких как IE» совсем не означает, что в IE нет уязвимости: оно означает только, что уязвимость не только в IE, но также и в других подобных IE браузерах, которые способны передать зловредный ярлык или значок на обработку в Windows. (Например, вероятно, в Maxthon.)

            Нет никаких оснований полагать, что эта уязвимость есть во всех браузерах, хотя бы потому, что они не подержат MSIE-подобных алгоритмов обработки ярлыков и значков. (Да им и неоткуда было бы взять эти алгоритмы: код Windows и IE закрыт же.)
            • –3
              Опечатка. Вместо «не подержат» следует читать «не содержат».
            • +3
              Мицгол, есть основания полагать, что это уязвимость вообще не браузера. Ниже об этом написал Paul, спасибо ему за более четкое изложение той мысли, которая меня заинтересовала с самого начала.

              Выводов я кстати не делал, я лишь описал событийную цепочку. Точнее сделал, один, невеселый, но не написал его. Он между строк.
        • +3
          What is the scope of the advisory?
          Microsoft is aware of a new vulnerability report affecting Windows Shell, a component of Microsoft Windows.
          Я понимаю это следующим образом:
          Уязвим Windows Shell (shell32.dll скорее всего). Любая программа (не обязательно даже браузер), которая захочет отобразить специально сформированный .lnk или .pif файл в виде иконки и заюзает для этого API из shell32.dll (подозреваю, что уязвима SHGetFileInfo, но не уверен), триггернёт эксплоит. Так что весь этот поток говна в сторону ИЕ — совершенно зря.
          • +2
            Есть ещё вероятность, что не SHGetFileInfo, а IShellLink интерфейс, но это уже несущественные детали. В общем смысл в том, что если Firefox для отображения иконки из .lnk файла заиспользует WinAPI (а он его заиспользует, не будут же они руками парсить), всё будет точно так же плохо, как если бы это был IE или Safari или кто угодно другой.
            • +2
              Собсно рядом уже всё написано и по полочкам разложено.
  • 0
    ок, ушёл дописывать статью.
    • 0
      жду.
  • +18
    Любая новость о великом фэйле ие радует гиков, а пользователям ие пофиг, в большинстве своем они даже не знают, что являются пользователями ие.
    P. S. Mithgol, ваш дореволюционный русский порой режет глаза равносильно олбанскому.
  • +6
    Звучит, как речь чокнутого наркомана из первой части Max Payne.

    Но завораживает, согласен.

    Второй день ищу, как отрубить обработку pif-ов вообще, пока что безрезультатно.
    • +2
      support.microsoft.com/kb/2286198 вам в помощь
      • +2
        Спасибо, до этого я дошёл сам, изучая в процессе проф. деятельности последствия вирусных атак.

        Проблема так не решается, чтобы объяснить почему — понадобится отдельный топик. :(
  • +1
    Да, чтобы от этой напасти (а именно удаленного использования уязвимости через WebDAV) уберечся, нужно остановить сервис WebClient.
    Большинство пользователей все равно его функциональностью не пользуются.

    а так, нехорошая дырка, да
    • 0
      А проблему загрузки заразы с флешек это тоже решит?
  • +13
    Угадал автора по заголовку.
    • НЛО прилетело и опубликовало эту надпись здесь
  • НЛО прилетело и опубликовало эту надпись здесь
    • +3
      Надо сделать Мицгол-фильтр во блоге Хабра:
      «дабы не засорялся всемогущий Хабра блогозаписями подобными ужé написанной и извлекал оттуда всю блогомерзкую орфографию.»
  • +2
    Под эту уязвимость надо было написать «вредоносный код», который загрузит юзеру хром, оперу и лису и предложит юзать их — это по-нашему :)
    • +2
      Еврокомиссия кагбэ одобряэ
  • 0
    Я узнал автора топика на 9ом слове заголовка. Кто раньше?
    • –1
      Я угадаю этого автора с третьей буквы.
  • 0
    Первый раз в жизни захотел, чтобы эту дыру не латали.
    • НЛО прилетело и опубликовало эту надпись здесь
      • –1
        Так много счастья не бывает, к сожалению.
  • 0
    А может все-таки многовекторной?
    • +4
      Как только прочитал «многовекторную» в заголовке, сразу понял, что автор поста — Мицгол.
    • +3
      В русском языке существует два варианта творительного падежа, и я вправе использовать любой.
      • +15
        В мозгу Мицгола существуют 2 варианта русского языка и он вправе использовать любой :)
  • –1
    shell32.dll патч для пользователей windows XP SP2 и SP3
    rghost.ru/2183992

    Эта программа является подтверждением концепции и предоставляется «как есть». Никаких явных или подразумеваемых гарантий. В любом случае автор не несет ответственности за любой ущерб, причиненный, возникающий в результате использования данного программного продукта, даже в случае уведомления о возможности такого ущерба.
    • +2
      Кто источник, кто автор?
  • +2
    Поразила эпичность слога автора.
  • +1
    Стал узнавать посты Мицгола по заголовкам. Фирстиль не отнять.
  • 0
    смерть IE!
  • 0
    Предлагаю дорбавить CVE-2010-2568 к тегам этого хабратопика.
    • –3
      Предлагаю этот хабратопик удалить, ибо на день раньше опубликовали намного более адекватный.
  • 0
    Я буду проще — не призывая к переходу на, советую ознакомиться с умением модуля Anti-spyware новой версии (7.0.2) антивирусов Outpost.
  • 0
    Q. Как отключить подгрузку favicon (иконки сайта)?
    A. Установить ПО блокирующее загрузку, например AdMuncher, функция включается на вкладке Options -> Filtering -> Prevent sites changing bookmark/address icons.

    Смекнул r0ster.
  • +3
    Мицгол, вы никогда не изменитесь.
    Это баг не в IE, любой браузер подвержен данной атаке. Да и дело вообще не в браузере.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.