Kritická chyba ActiveX HTML Helpu

V ActiveX komponentě zpřístupňující HTML Help je natolik kritická díra, která umožňuje útočníkovi si dělat s počítačem prakticky cokoliv, stačí jen navštívit patřičnou stránku na webu, případně si zobrazit HTML email nějakým starým Outlookem (Outlook 2002, 2003 a Outlook Express 6 jsou ve standardní konfiguraci bezpečné, Outlook 2000 je bezpečný s Email Security Updatem a Outlook Express 5.5 se Service Packem 2). Oprava této chyby spočívá v tom, že HTML Help ActiveX prvek nemůže být vytvořen mimo zónu lokálního počítače. To však může vyřadit z funkčnosti některé aplikace, které na tomto prvku lpí. Pokud je to váš případ, pak i po aplikaci záplaty máte šanci HTML Help ActiveX prvek zapnout i mimo zónu lokálního počítače. Zapnutí však není zcela jednoduché, musíte na to použít editor registru. Nejprve si musíte najít větev:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions

Následně v ní vytvořit buď řetězcovou položku nazvanou „UrlAllowList“, kde hodnotou jsou adresy stránek, ve kterých budou HTML Help ActiveX komponenty vykonávané. Pokud jich máte více než jeden, pak je musíte oddělit středníkem.

Druhá možnost je vytvořit ve výše zmíněné větvi dword položku „MaxAllowedZone“, která může nabývat hodnot:

• 0 = HTML Help ActiveX komponenta je povolena pouze v zóně lokálního počítače
• 1 = Oproti 0 povoluje komponentu navíc i v zóně místního intranetu
• 2 = Oproti 1 povoluje komponentu navíc i v zóně důvěryhodných serverů
• 3 = Oproti 2 povoluje komponentu navíc i v zóně Internetu
• 4 = Oproti 3 povoluje komponentu navíc i v zóně serverů s omezeným přístupem

Je nutné si však uvědomit, že tam, kde povolíte HTML Help ActiveX komponentu, tam se vystavujete možnému útoku, takže je vhodné používat změnu tohoto nastavení opravdu jen v případě, kdy není jiná možnost. Více informací na toto téma prozradí Microsoft Security Bulletin MS05-001.

Mezi záplatami stále najdete i opravu pro Windows NT 4.0. Sice již skončila podpora i Windows NT 4.0 Serveru, ale Microsoft se vzhledem k vážnosti díry rozhodl mimořádně vydat záplatu i pro tyto starší systémy:

• Windows 2000 SP3 a SP4: české a anglické
• Windows XP SP1 a SP2: české a anglické
• Windows Server 2003: český a anglický
• Windows XP 64-bit Edition SP1: anglické
• Windows XP 64-bit Edition 2003 a Windows Server 2003 64-Bit Edition: anglické
• Windows NT Server 4.0 SP6a a Terminal Server SP6 s instalovaným IE6 SP1: anglický
• Windows 98/98SE/ME: Windows Update

Zpracovávání formátu s kurzory a ikonami není bezpečné

Tato záplata nahrazuje starší MS03-045, kterou navíc Microsoft vydával na třikrát! Problém je ve zpracování souborů s kurzory a ikonami, kdy podle Microsoft Security Bulletinu MS05-002 není dostatečně ověřen formát souboru, jinak řečeno, jde o klasické přetečení bufferu. Díky tomu také tato chyba nepostihuje uživatele Windows XP SP2, protože Service Pack 2 přidal obecnou ochranu proti přetékání bufferu.

V případě, že by se povedlo útočníkovi díru využít, tak buď může shodit operační systém, nebo může s vaším počítačem dělat cokoliv, co může aktuálně přihlášený uživatel. Stačí mu k tomu pouze umístit daný soubor na HTML stránku, kterou navštívíte. Dá se zneužít i HTML emailu, ale to byste museli mít některý ze starších nezabezpečených Outlooků, podobně jako u předešlé bezpečnostní díry. Je tedy

Bezpečnostní záplaty zatím nejsou dostupné pro Windows 98 a ME, budou prý později, ale pouze na Windows Update. I v tomto případě Microsoft ještě připravil záplaty pro Windows NT 4.0 Server:

• Windows 2000 SP3 a SP4: české a anglické
• Windows XP SP1: české a anglické (SP2 postižen není)
• Windows Server 2003: český a anglický
• Windows XP 64-bit Edition SP1: anglické
• Windows XP 64-bit Edition 2003 a Windows Server 2003 64-Bit Edition: anglické
• Windows NT Server 4.0 SP6a: anglický a anglický Terminal Server SP6
• Windows 98/98SE/ME: Windows Update

Indexovací služba umožňuje vykonání nebezpečného kódu

Sice tato bezpečnostní díra v případě zneužití je stejně nebezpečná, jako dvě výše uvedené, ale Microsoft ji přesto označuje pouze jako important (důležitou), tedy není kritická. To je způsobeno faktem, že jednak indexovací služba není standardně zapnuta. Navíc je ke zneužití potřeba i IIS a nastavit ho tak, aby umožnil přes web vznášet dotazy na indexovací službu. Když už to někdo potřebuje, tak navíc velice pravděpodobně omezí dostupnost takové služby jen pro určitý okruh uživatelů a nenechá službu anonymně přístupnou. Pro další podrobnosti zavítejte na Microsoft Security Bulletin MS05-003.

Problém způsobuje obyčejné přetečení bufferu, takže je jasné, že Windows XP se SP2 jsou proti němu imunní. Mimo nich se problém netýká také Windows NT 4.0, Windows 98, ME a 2000. Ovšem u posledně zmíněného systému níže najdete záplatu a sám Microsoft k tomu píše, že sice bezpečnostní díra není na Windows 2000 zneužitelná, ale raději změnili způsob zpracování požadavků i na Windows 2000 a tak doporučují i na ně záplatu aplikovat:

• Windows 2000 SP3 a SP4: české a anglické
• Windows XP SP1: české a anglické (SP2 postižen není)
• Windows Server 2003: český a anglický
• Windows XP 64-bit Edition SP1: anglické
• Windows XP 64-bit Edition 2003 a Windows Server 2003 64-Bit Edition: anglické

Extrémně kritická díra ze Secunie

Předevčírem a včera se Internetem začala šířit zpráva, že v Internet Exploreru 6 jsou tři chyby, které lze dohromady označit za extrémně kritické. Mnohde se psalo, že jde o nové bezpečnostní díry, ale to není tak zcela pravda. I my jsme měli připravenou a napsanou zprávu, která o nich pojednávala, nicméně nakonec jsme se rozhodli ji stáhnout a to rovnou z několika důvodů. První byl ve faktu, že tehdy zmíněný postup udělal z Internet Exploreru prakticky nepoužitelný produkt (použitelný jen na zobrazování nejprostšího HTML s CSS). Druhý a podstatně pádnější důvod byl ukryt ve faktu, že Microsoft právě na dnešní den přislíbil záplatu této díry. Protože nebyl znám žádný případ, kdy by se někdo snažil zmíněnou díru zneužít, tak jsme se rozhodli nakonec počkat na Microsoft, než vydá bezpečnostní záplatu. Nyní si ale povězme, o čem ten včerejší a předvčerejší humbuk vlastně byl.

O těchto třech bezpečnostních dírách se už psalo dříve, konkrétně my jsme se také zmínili koncem října. Tehdy však ještě měly označení vysoce kritické, nyní už jsou extrémně kritické. Naštěstí dvě z těchto děr Microsoft zazáplatoval první z dnešních záplat, takže se k nim již vracet nebudeme. Ta poslední ze zmíněných třech jde poměrně snadno obejít, dokonce je to česky popsáno u Microsoftu.

Abyste si ověřili, že to nejkritičtější máte opravdu zazáplatováno, navštivte stránku k tomu stvořenou. Uprostřed zobrazené stránky je odkaz „Test Now - Left Click On This Link“, na který když kliknete, tak se vám v případě bezpečnostní díry automaticky spustí příkazová řádka (cmd.exe) a ta spustí další okno IE (iexplore.exe) s webem Secunie. Test vyžaduje, abyste měli Windows nainstalovány v adresáři „c:\windows\“ a pokud změníte nastavení, musíte tuto stránku do prohlížeče znovu natáhnout.

Nástroj na odstranění škodlivého softwaru

Na závěr tu pro vás máme nástroj, který se dnes objevil na Windows Update a to pro operační systémy Windows XP. Jde o tzv. „nástroj pro odstranění škodlivého softwaru“ a má ke stažení pouze zhruba ¼ mega, z čehož se dá odhadnout, že o nedávno zmiňovaný Microsoft AntiSpyware (původem od firmy GIANT) nepůjde. U Microsoftu se na Windows Update vyskytuje následující popis:

Tento nástroj zjišťuje, zda počítač není nakažen známým škodlivým softwarem (např. Blaster, Sasser a Mydoom) a pomáhá odstranit všechny nalezené varianty. Měli byste také použít některý z antivirových produktů k odstranění dalšího škodlivého softwaru, kterým by počítač mohl být nakažen. Tento nástroj slouží k údržbě počítače a jeho zobrazení ještě neznamená, že je počítač nakažen škodlivým softwarem.

Nástroj je na Windows Update zatím dostupný pouze pro uživatele Windows XP. Pro operační systémy Windows 2000 a Windows Server 2003 bude přidána podpora v dalším vydání. Microsoft v této souvislosti uvádí, že nové verze tohoto nástroje jsou vydávány každé druhé úterý v měsíci (podobně jako bezpečnostní záplaty) a budou samozřejmě dostupné i přes Windows Update a službu automatické aktualizace.

Zmíněný software si můžete i bez návštěvy Windows Update přímo stáhnout v češtině, případně v angličtině. K dispozici je také on-line verze na stránkách Microsoftu (v době vydání v angličtině). Vřele doporučuji přečíst si o tomto nástroji podrobnější informace u Microsoftu.