Diit.cz - Novinky a informace o hardware, software a internetu

Díra ve Windows umožňuje spuštění kódu pohledem na zástupce

Windows Vista logo bílé
Ve všech podporovaných (a jistě i některých nepodporovaných) systémech Windows byla objevena nová poměrně vážná bezpečnostní trhlina, která umožňuje spuštění kódu útočníka vpraveného přímo do zástupce, a to pouhým prohlížením takového zástupce v průzkumníku, případně dalších aplikacích, které se pokoušejí zpracovávat ikony zástupce, aby je mohly zobrazit. To znamená, že třeba i Total Commander a jiný souborový manažer, který zobrazuje ikony zástupce, může způsobit, že při procházení složky, v němž je zákeřný zástupce umístěn, může dojít ke spuštění kódu útočníka. Postižena je dokonce i betaverze prvního Service Packu pro Windows 7. Oprava tohoto bezpečnostního problému zatím není k dispozici a již existují breberky, které této zranitelnosti využívají. Lze se tomu pochopitelně bránit patřičným zásahem do registru…

K šíření breberky může nejsnáze dojít za přispění jedné z největších bezpečnostních trhlin v dějinách Microsoftu: automatickým spouštěním obsahu nově vložených médií. Pokud je již počítač napaden, může se havěť snažit např. umisťovat zástupce na všechna vložená výměnná média, typicky USB flash paměti, externí pevné disky, ale svůj efekt to má i na síťových svazcích, k nimž přistupuje vícero uživatelů. Za výchozího stavu je nově vložená USB flash paměť prohledána systémem Windows a v některých případech (záleží na obsahu) se prostě spustí průzkumník, aby ukázal obsah složky. A v ten moment dojde k napadení cílového počítače. Pouhé vypnutí funkce AutoPlay se však rovná jen „zatažení závěsů u okna, z něhož se kdykoli může někdo podívat ven a nákazu i tak chytit“. Stačí v průzkumníku procházet disky a složky ručně a k napadení při zobrazení oné „nakažené“ složky dojde také.

Řešením je zajistit, aby systém nezpracovával ikony souborů, hlavně zástupců. Tomu se dá pomoci velice jednoduše, smazáním hodnoty položky (Výchozí) ve větvi

HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler

v registru. Určitě je dobré si tuto větev a veškerý její obsah nejprve zazálohovat do souboru, aby bylo možné funkčnost po vydání záplaty opět obnovit. Až budete mít zazálohováno, otevřete položku (Výchozí) (v anglických Windows (Default)), smažte obsah položky a potvrďte.

HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler

Smazání položky způsobí, že všichni zástupci budou vypadat stejně – nebudou mít ikonu programu, který představují, ale nějakou výchozí (jakou, to nevíme, nezkoušeli jsme to). Aby změna nabyla platnosti, je potřeba restartovat počítač (nebo alespoň proces explorer.exe, což se dá udělat i pouhým odhlášením a znovu přihlášením).

Domníváme se, že vzhledem k aktivnímu zneužívání jde o tak vážnou bezpečnostní trhlinu, že Microsoft možná vydá záplatu mimo pravidelné druhé úterý v měsíci.

WIFT "WIFT" WIFT

Bývalý dlouholetý redaktor internetového magazínu CDR-Server / Deep in IT, který se věnoval psaní článků o IT a souvisejících věcech téměř od založení CD-R serveru. Od roku 2014 už psaní článků fakticky pověsil na hřebík.

více článků, blogů a informací o autorovi

Diskuse ke článku Díra ve Windows umožňuje spuštění kódu pohledem na zástupce

Čtvrtek, 22 Červenec 2010 - 15:54 | WIFT | Ad první odstavec: to je fakt, to je trhlina...
Čtvrtek, 22 Červenec 2010 - 15:29 | CrazyHorse | "za přispění největší bezpečnostní trhliny v...
Čtvrtek, 22 Červenec 2010 - 13:34 | petr ib | tak jsem to testnul a po odstraneni zaznamu z...
Úterý, 20 Červenec 2010 - 11:26 | Izak | Rikal to M$ ;-))) no ale verte jim ze ;-))
Úterý, 20 Červenec 2010 - 09:49 | WIFT | To ses dopočul správně, protože podpora pro WinXP...
Pondělí, 19 Červenec 2010 - 21:54 | Max Devaine | Proč by také měl být? Vždyť w2k a winxp SP2 jsou...
Pondělí, 19 Červenec 2010 - 21:50 | Nox | Tak som sa dopocul, ze update pre WinXP SP2 a Win...
Pondělí, 19 Červenec 2010 - 15:10 | Martin Poupě | Quicklaunch je pak opravdu lahoda:-) http://...
Pondělí, 19 Červenec 2010 - 14:11 | mmmmario mmmmario | Jo já vím, nereagoval jsem na "pokaženého...
Pondělí, 19 Červenec 2010 - 14:05 | ondra1 | tak to si slyšel opravdu blbě :-)

Zobrazit diskusi