Díry v SMBv2 umožňuje vzdálené spuštění kódu

Když se řekne Server Message Block, znalý uživatel ví, že se jedná o protokol, na němž de-facto stojí síť Windows tak, jak ji známe, konkrétně tedy sdílení souborů mezi počítači se systémy Windows. Verze 2 je pak záležitostí Windows Vista, Windows 7 a Windows Serverů 2008 a 2008 R2. Možná vás napadá kacířská myšlenka, že systém Windows 7 v tomto případě dostává záplatu ještě před uvedením na trh pro všeobecnou veřejnost (to bude až příští týden ve čtvrtek). Nebojte, není tomu tak, ačkoli security bulletin na první pohled vypadá, že skutečně mezi postiženými systémy jsou i Windows 7 a Windows Server 2008 R2, v detailech se lze dočíst, že všechny tři díry, které tato záplata řeší, jsou pouze v Release Candidate verzích těchto systémů, nikoli finálních (RTM). Dvě z děr mohou vést ke spuštění kódu útočníka (o jedné se veřejně ví), třetí lze zneužít k zahlcení služby SMBv2. A protože tato bezpečnostní díra nevyžaduje ke zneužití součinnost uživatele, je aktualizace více než doporučena i přes skutečnost, že třeba systém Windows Vista je při nastavení sítě na „veřejnou“ ve výchozím stavu proti příchozím nevyžádaným požadavkům (a tedy i proti takovým, které by v rámci těchto děr mohly být nebezpečné) chráněn.

Další podrobnosti a odkazy ke stažení obsahuje Microsoft Security Bulletin MS09-050.

Díry ve Windows Media Runtime umožňují vzdálené spuštění kódu

Další dvě díry byly objeveny ve Windows Media Runtime (jedna z nich opět zveřejněna, i když zatím Microsoft nemá o zneužívání žádné informace) a v ohrožení jsou tak uživatelé multimediálních souborů ASF s využitím Windows Media Speech kodeku a souborů s komprimovaným zvukem, což je dnes prakticky drtivá většina multimédií. Problém s ASF soubory leží ve Windows Media Audio Voice dekodéru a za určitých okolností je možné jeho zneužití i skrze webový prohlížeč používající plugin přehrávače, který na Windows Media Speech kodek spoléhá (nejčastěji Windows Media Player). Druhý problém je přímo v Audio Compression Manageru (ACM), což je přímo systémová součást starající se o zpracování zvuku mezi kodeky a samotným zvukovým zařízením v PC. Zákeřný kód se tedy může ukrývat přímo v komprimovaném zvukovém streamu, k jeho spuštění však dochází s právy přihlášeného uživatele (nikoli na úrovni systému). Zbývá jen dodat, že jsou postiženy všechny podporované systémy Windows kromě Windows 7 a Windows Serveru 2008 R2 a dále systémů Windows určených pro architekturu IA-64 (čili procesory Intel Itanium).

Další podrobnosti a kopici odkazů ke stažení obsahuje Microsoft Security Bulletin MS09-051.

Díra ve Windows Media Playeru 6.4 umožňuje vzdálené spuštění kódu

Ne, neděláme si legraci, opravdu jde o Windows Media Player 6.4, ten, jehož vzhled je vzorem pro Media Player Classic a Media Player Classic - Home Cinema. A protože ve Windows 2000, Windows XP (i x64) a Windows Serveru 2003 stále Windows Media Player 6.4 je, musí jej Microsoft chtě nechtě podporovat. Právě jsme vyjmenovali postižené systémy, doplňme, že se to netýká Windows Serveru 2003 pro Itania. Způsob zpracování ASF souborů ve Windows Media Playeru 6.4 umožňuje spuštění patřičně vnořeného kódu útočníka (ASF soubory mohou mít příponu nejen ASF, ale i WMV, nebo i WMA). A ačkoli pravděpodobně budete takový soubor spouštět ve vyšší verzi Windows Media Playeru, už pouhé prohlížení složky v průzkumníku Windows s takto „pokaženým“ souborem zavolá Windows Media Player 6.4 „dostatečně na to“, aby ke spuštění vpraveného kódu došlo.

Další podrobnosti a odkazy ke stažení obsahuje Microsoft Security Bulletin MS09-052.

Díra ve službě FTP v IIS umožňují vzdálené spuštění kódu

Tedy po pravdě řečeno tato záplata nezáplatuje jednu díru, ale dvě, obě s rizikem zahlcení služby (DoS), ovšem jedna z nich může na IIS verze 5.0 vést ke spuštění kódu útočníka (v ostatních případech opět pouze DoS). Díra je zneužitelná pouze se službou FTP a je označena „jen“ jako důležitá i přes skutečnost, že už se o ní nejen ví, ale Microsoft už ví o případech zneužití (jde o cílené útoky). V ohrožení jsou především servery, ale službu lze rozchodit na všech systémech, zranitelnost se netýká pouze Windows 7 a Windows Serveru 2008 R2. Windows Vista a Windows Server 2008 jsou postiženy také, záplatování můžete vyřešit přímo instalací Microsoft FTP Service 7.5 pro IIS 7.0 (v základu tyto systémy obsahují FTP Service verzi 7.0).

Další podrobnosti a odkazy ke stažení obsahuje Microsoft Security Bulletin MS09-053 (odkazy na Microsoft FTP Service 7.5 pro IIS 7.0 hledejte v sekci FAQ).

Kumulativní aktualizace aplikace Internet Explorer

Nu, co se dá dělat, přeci je to tu, první záplata pro Windows 7 a Windows Server 2008 R2 ještě před vypuštěním na trh pro širokou veřejnost – a může za to Internet Explorer. I osmička v těchto nových systémech trpí třemi z celkem čtyř děr, které tato záplata řeší, všechny čtyři mají povahu vzdáleného spuštění kódu, o jedné z nich se toho ví veřejně trochu víc. Scénář navštívení patřičně vytvořené stránky vám asi nemusíme připomínat.

Další podrobnosti a odkazy ke stažení obsahuje Microsoft Security Bulletin MS09-054.

Kumulativní aktualizace ActiveX Kill bitů

Další z řady kumulativních aktualizací je rozšíření seznamu kill bitů pro několik identifikátorů tříd, které mohou být použity jako ActiveX prvky. Hodně se jich týká ATL OWC (OWC9 - OWC11), dále Visio Viewer 2002-2007, Windows Live Mail (Mail Object, Mesg Table Object, Mime Editor a Message List), MSN Photo Upload Tool a Office Excel Add-in for SQL Analysis Services. Zajímavé je, že ačkoli Microsoft tvrdí, že informace o zranitelnostech nebyly zveřejněny, ví se o určitých cílených útocích. Záplata je k dispozici pro všechny podporované systémy (ano, včetně Windows 7 a Windows Serveru 2008 R2), ale třeba o systémech Windows Vista a Windows Server 2008 Microsoft tvrdí, že postiženy nejsou a záplata je tedy spíše „pro jistotu“.

Další podrobnosti a odkazy ke stažení obsahuje Microsoft Security Bulletin MS09-055.

Díry ve Windows CryptoAPI umožňují podvržení certifikátu

Dvě známé díry (jedna včetně ukázkového kódu) řeší další záplata, která je určena i pro Windows 7 a Windows Server 2008 R2. Vlastně je tato záplata určena pro všechny podporované systémy. Problém je v CryptoAPI ve Windows, kde lze s pomocí další bezpečnostní zranitelnosti (DNS spoofing) provést podvrh certifikátu při komunikaci s HTTPS weby nebo pomocí standardu X.509 a s dostatečnou šikovností přesvědčit uživatele, že komunikuje zabezpečenou cestou s důvěryhodným subjektem, zatímco to může být nějaký „zákeřňák“ (to je ta osoba, co číhá za keřem ;-). Microsoft ani neuvádí žádné rozumné možnosti, jak takové zranitelnosti předcházet, takže nejrozumnější asi bude záplatovat.

Další podrobnosti a odkazy ke stažení obsahuje Microsoft Security Bulletin MS09-056.

Díra v indexovací službě umožňuje vzdálené spuštění kódu

Služba indexování ve Windows 2000, Windows XP a Windows Server 2003 (včetně IA-64 a x64 verzí) obsahuje problém v ActiveX prvku ixsso.dll, který může být zneužit ke spuštění kódu útočníka umístěného patřičným způsobem na webové stránce. Lze tomu předejít nastavením ActiveX kill bitu pro daný prvek, k čemuž můžete použít tuto úpravu registru:

Další podrobnosti a odkazy ke stažení obsahuje Microsoft Security Bulletin MS09-057.

Díry ve Windows Kernelu umožňují zvýšení práv

Celkem tři nově objevené bezpečnostní díry ve Windows Kernelu (žádná veřejně známá nebo zneužívaná) obsahují všechny podporované systémy Windows kromě Windows 7 a Windows Serveru 2008 R2. Jedna z děr vyžaduje útočníkův přístup k PC, kde si může s pomocí patřičně vytvořené aplikace zvýšit práva a dělat pak na daném PC, co se mu zachce (využívá se přitom nekorektního zkracování 64bitových hodnot na 32bitové). Druhá díra je o něco zajímavější, nevyžaduje kupodivu spouštět vůbec nic, útočníkovi pouze stačí patřičně upravenou aplikaci někam narafičit a ke zneužití díry dochází pouhým prohlížením složky v průzkumníku Windows, kde je takto přichystaný soubor umístěn. Klidně to může být i síťová složka, ale v takovém případě pouze dojde k zatuhnutí systému. Třetí díra není příliš nebezpečná, skoro bychom řekli, že ji asi využije jen na hlavu padlý jedinec (případně „zákeřňák“ na serveru), spočívá v přihlášení a ve spuštění aplikace, která způsobí, že celý systém zatuhne a PC je potřeba restartovat.

Další podrobnosti a odkazy ke stažení obsahuje Microsoft Security Bulletin MS09-058.

Díra v LSASS umožňuje zatuhnutí systému

Další víceméně zanedbatelná, každopádně nepříjemná díra je ve službě Windows Local Security Authority Subsystem, která může díky nedostatečně ošetřenému zpracování zmršených paketů při NTLM ověření shodit celou službu a dostat počítač do tuhého stavu. Opět je trochu nemilé, že to postihuje skoro všechny systémy, Windows 7 a Server 2008 R2 nevyjímaje, netýká se to jen Windows 2000. V případě Windows XP a Windows Serveru 2003 je navíc trochu kuriózní skutečnost, že dokud nemáte nainstalovánu aktualizaci KB968389 (Rozšířená ochrana pro ověřování), nejste tímto problémem postiženi. Pokud jste si ještě rozšířenou ochranu pro ověřování nenainstalovali, může vám ji Windows Update nabídnout, pochopitelně vám ale nebude nabízet tuto novou záplatu. Tu vám nabídne až po instalaci KB968389. Pokud si však záplatu sami stáhnete a nainstalujete i bez toho, že byste měli předtím KB968389 (což je podle Microsoftu nepodporovaný scénář), záplata se normálně nainstaluje, akorát to nemá žádný praktický význam do doby, než nainstalujete i KB968389 a pak už vlastně máte rovnou zazáplatováno.

Další podrobnosti a odkazy ke stažení obsahuje Microsoft Security Bulletin MS09-059.

Díry v ATL ActiveX prvku umožňují vzdálené spuštění kódu

V Active Template Library jsou tři nově objevené bezpečnostní díry, dvě umožňují vzdálené spuštění kódu, jedna vyzrazení informací. Postižený software tentokráte zahrnuje Office XP, Office 2003 a Office 2007, dále pak Visio 2002 Viewer a Visio 2003 Viewer, kde Microsoft doporučuje upgradovat na Visio Viewer 2007, ten je ale děravý také, ale pro něj má narozdíl od předchozích jmenovaných záplatu. Děravost Visio 2002 a 2003 Viewerů lze zmírnit instalací červencové kumulativní aktualizace IE (jedna ze dvou mimořádných, které nevyšly ve druhé úterý, ale až koncem měsíce).

Další podrobnosti a odkazy ke stažení obsahuje Microsoft Security Bulletin MS09-060.

Díry v .NET Common Language Runtime umožňují vzdálené spuštění kódu

Tato záplata se týká všech podporovaných verzí Windows (opět včetně Windows 7 i Windows Serveru 2008 R2), ovšem není to až tak přímo problém Windows, jako spíše .NET Frameworku (který ovšem součástí Windows Vista, Windows 7 a Windows Serveru 2008 i 2008 R2 je, takže je to problém i samotných systémů). A protože .NET Framework je poněkud „roztroušen“ a v jednom systému může být více verzí, je dobré říci, že se tento problém týká verzí .NET Framework 1.1 a 2.0, včetně případných Service Packů. Samotný .NET Framework 3.0 a vyšší postižen není, ten ale nebývá v systému sám (je tam obvykle i 2.0 nebo starší). Komponenty .NET Frameworku mají problémy celkem dva, oba s možností spuštění kódu útočníka (v prvním případě jsou v ohrožení weby umožňující uživatelům nahrávat vlastní ASP.NET aplikace, v obou případech se pak dá zranitelnost zneužít při spouštění XBAP přímo ve webovém prohlížeči).

Zbystřit by měli také uživatelé Maců, protože Silverlight verze 2 pro Macy i klientské a serverové systémy Windows je postižen také. Záplata se řeší prostou formou upgradu na verzi Silverlight 3, která je v pořádku. Opět se dá touto cestou napadnout jak web server, pokud umožňuje nahrávání uživatelských aplikací, tak i uživatel při spouštění XAML aplikací v prohlížeči.

Další podrobnosti a odkazy ke stažení obsahuje Microsoft Security Bulletin MS09-061.

Ementál v GDI+ umožňuje vzdálené spuštění kódu

Kráter v GDI+ jsme tu už „dlouho“ neměli, naposledy loni v prosinci, tuto záplatu však tato nová nenahrazuje, nahrazuje jednu starší ze září 2008 (MS08-052). Od té doby bylo zjištěno, že GDI+ je hotový cedník, záplata loni v září řešila pět děr, v prosinci dvě díry a tato nová nyní řeší dalších 8 děr (jedou opět WMF, dvakrát PNG, dvakrát TIFF, jednou BMP, dále pak díru v .NET API a jedno malé bezvýznamné porušení části paměti). Naštěstí v ani jednom případě není známo zneužití, ale útočníci jistě rádi záplatu prozkoumají, co vlastně dělá a jak ty chyby řeší a na té bázi jistě rádi něco postaví (i když já být útočníkem, už by mě to asi přestalo bavit).

Microsoft si už nejspíše s tím to problémem neví rady a odkazuje se na jistý skoro dva měsíce starý hotfix (KB958911), který do GDI+ přidává novou možnost zakázání zpracování jednotlivých obrázkových formátů komponentou GDI+. Dělá se to nastavením registru, více v uvedeném odkazu na záplatu, lze takto vypínat zpracování obrázků BMP, JPG, GIF, PNG, ICO, a TIFF, pak je tu ještě další (KB941835) speciálně pro EMF a WMF (první je pro systémy od Windows XP po Vista, druhé od Windows 2000 po Windows Server 2003).

Záplaty jsou určeny pro systémy od Windows XP po Windows Vista a Server 2008 a také pro Windows 2000 s Internet Explorerem 6 SP1 nebo .NET Frameworkem 1.1 či 2.0. Dále pak pro Office XP, Office 2003 i Office 2007 a další kancelářské aplikace (nějaké ty Viewery, Compatibility Packy a jiné věci). To není vše, ještě jsou tu SQL Server 2005, několik verzí Visual Studia a Report Viewerů a také Visual FoxPro 8.0 a 9.0. Bezpečnostní díra postihuje také Microsoft Forefront Client Security 1.0, pokud je instalován na Windows 2000 (SP4).

Podrobnosti včetně obsáhlého seznamu postiženého i nepostiženého softwaru a odkazy ke stažení obsahuje Microsoft Security Bulletin MS09-062. Řekněte „uff“…