Přetečení bufferu v MDAC ohrožuje IE i IIS

Klasické přetečení bufferu, které může způsobit vykonání kódu útočníka, bylo nalezeno v Microsoft Data Access Components (MDAC). Postiženy jsou verze až do 2.6 a jelikož Internet Explorer využívá MDAC, tak i Internet Explorer je postižen. Majitelé Windows XP mají rovnou se systémem nainstalován MDAC 2.7, tak nejsou postiženi a zbytek stránky mohou vesele ignorovat. Ostatní by měli zbystřit, protože tato chyba může umožnit útočníkovi vykonat na vašem počítači jeho kód. Stačí, aby buď do Internet Information Serveru (IIS) poslal patřičně upravený HTTP požadavek, nebo do Internet Exploreru upravenou HTTP odezvu.

Abyste ochránili IIS, pak buď musíte nainstalovat patch, nebo vypnete MDAC, nebo RDS, anebo máte možnost nainstalovat MDAC 2.7.

Pokud chcete ochránit Internet Explorer, tak musíte nainstalovat patch, pouhá instalace MDAC 2.7 patrně nepomůže. Jenže je zde jeden zádrhel. Může se totiž stát, že se váš už bezpečný systém se stane znovu nebezpečným, náchylným na tuto chybu. Vše souvisí s "geniálními" ActiveX komponentami a jejich zabezpečením a používáním, jelikož v případě Internet Exploreru je touto chybou postižena právě MDAC ActiveX komponenta. Pro vysvětlení tohoto problému musím trochu odběhnout.

Když Microsoft zjistí, že nějaká ActiveX komponenta je nebezpečná, tak jí jednoduše stačí nastavit tzv. "Kill Bit", který ji sice nechá nainstalovanou na počítači, ale znemožní Internet Exploreru ji volat. Stačilo by tedy i u této komponenty nastavit "Kill Bit" a vše by bylo OK. Jenže, to by nesměla právě tato komponenta být tak moc využívaná intranetími a internetími aplikacemi. Kdyby to nyní Microsoft udělal, tak by spousta aplikací, které se na ní spoléhají, přestalo fungovat. Možná vás tedy napadlo, proč Microsoft neudělá opravenou verzi komponenty. Ve skutečnosti takto opravenou knihovnu vytvoří již zmíněný patch.

Zdálo by se tedy, že je vše v pořádku, jenže není. Útočník vám totiž správě vytvořeným HTML kódem umí vnutit i nebezpečnou verzi, této komponenty tak, aby "přeplácla" tu správnou. A vy se to ani nedovíte! Nedozvíte se to proto, že ta náchylná verze je digitálně podepsaná Microsoftem a když standardně nastavený IE najde ActiveX komponentu podepsanou Microsoftem, tak se vás ani neptá a rovnou ji začne stahovat a instalovat. Možná už tušíte, že z této pasti je možné se dostat ven (mimo nepoužívání IE jako internetového prohlížeče). Stačí si vyhodit veškeré důvěryhodné vydavatele následujícím postupem (platí pro IE6):

1. V Internet Exploreru vyberte menu Nástroje/Možnosti Internetu
2. Následně vyberte záložku Obsah a tam najděte tlačítko Vydavatelé
3. Mělo by se vám otevřít okno, kde uvidíte důvěryhodné vydavatele
4. Pak byste měli postupně označovat a odebírat všechny vydavatele (ale asi by měl stačit pouze Microsoft)
5. A následně vše potvdit tlačítkem OK

Díky tomuto řešení se vždy, když vám bude chtít nějaká stránka vnutit ActiveX komponentu digitálně podepsanou Microsoftem, objeví dotaz, zda-li s tím souhlasíte. Musíte si už sami dát pozor, abyste si nenechali znovu nainstalovat původní vadnou komponentu.

Řešení to rozhodně není ideální a toho si je vědom i Microsoft, který podle vlastních slov "připravuje technologii", která umožní nastavit Kill Bit i takovéto komponentě bez nutnosti přepisovat web aplikace (tipnul bych si, že její volání se automaticky přesměrují do jiné komponenty).

A nyní už konečně nabídka na potřebný download:

• Patch pro jakýkoliv systém
• MDAC 2.70.9001.0: český a anglický (vyžaduje alespoň Windows 2000, NT4 SP5 s IE4.01 SP2, ME, 98 s Year 2000 Update 2 a s IE4.01 SP2, nebo 98 SE; neinstalujte jej na clusterované MS SQL 7.0 či 6.5 servery)

Všechny detaily o této chybě najdete podrobně popsané v Microsoft Security Bulletinu MS02-65. Microsoft však od této chyby začíná vydávat čitelnější informace o bezpečnostních chybách pro koncové uživatele. Kuriózní je, že v této uživatelsky přítulné není ani zmínka, že se bezpečný systém opravený patchem znovu může stát nebezpečným.

Na závěr ještě musím dodat, že všude, kde jsem na této straně psal o děravosti Internet Exploreru, tak stejně děravý je i Outlook 98 a 2000 bez Email Security Updatu (takže můžete být napadeni i HTML emailem). Standardně nastavení klienti Outlook 2002 a Outlook Express 6 nejsou postiženi.