Zaloguj się

ichito · 28.04.2014, 08:25

FireEye kolejny poinformowało...nie pierwszy raz już...o wykryciu nowej i niebezpiecznej luki w programie Internet Explorer . Luka dotyczy właściwe wszystkich wersji IE - od 6 do 11, choć celowany jest głównie w wersje 9-11 , a atak ją wykorzystujący, dzięki wykorzystaniu wcześniej znanego mechanizmu korzystającego z Flash playera , obchodzi skutecznie mechanizmyASLR (Address space layout randomization ) iDEP (Data Execution Prevention) . Luka jest o tyle istotna, że chociaż jest o niej oficjalna informacja od MS (

[Aby zobaczyć linki, zarejestruj się tutaj]

), to nie ma nią jeszcze łatki, a ogrom ewentualnych "zniszczeń" może być spektakularny, ponieważ IE wciąż jest z liderów w używanych na świecie przeglądarkach z udziałem ponad 26% (tylko te 3 wersje).
Póki co jedynym rozwiązaniem jest
- skorzystanie z innej, niż IE przeglądarki
- zainstalowanie EMET w wersji 4 lub 5
- dodatkowo można wyłączyć plugin Flash player

[Aby zobaczyć linki, zarejestruj się tutaj]

Na marginesie...ocenia się, że jest to to pierwszy wykryta podatność, której celem może być również system XP po zakończeniu wsparcia 3 tygodnie temu.

**nikita** · 29.04.2014, 09:52

W Windows Update pojawił się monit o dostępności aktualizacji KB2961887 .

[Aby zobaczyć linki, zarejestruj się tutaj]

ichito · 29.04.2014, 12:11

Adobe póki co załatało poprzednio zgłoszoną przez Kaspersky Lab lukę opisaną jako CVE-2014-0515 - ta wykryta przez FireEye to CVE-2014-1776 .

wojek · 30.04.2014, 23:25

Znalazłem ciekawy sposób na prawdopodobne uniknięcie tego zagrożenia - wyłączenie VML.
Bardzej zorientowanych w temacie Kolegów proszę o komentarz, czy to bezpieczne rozwiązanie
(w sensie, że coś się po tym nie posypie, nie od/zainstaluje, czy to VML jest do czegoś potrzebne, itd.).

Cytat: To immediately protect any use of Internet Explorer – yes, even on creaky old WinXP
(the XPocalypse has been delayed):You must first open a command prompt window with administrative privileges.
This is done by right-clicking on the Command Prompt icon in the start menu and selecting “Run As Administrator.”
Commands issued within this window will have the privilege required to make system level changes.

32-bit systems only require the first command. But since 64-bit systems have both
a 32-bit and 64-bit version of the vulnerable file, both commands must be used with them:

Kod:
regsvr32 -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" regsvr32 -u "%CommonProgramFiles(x86)%\Microsoft Shared\VGX\vgx.dll"

These commands unregister (-u) the VML renderer, making it inaccessible to the exploit attempt.
Your IE browser will no longer be able to render vector markup language content, but it’s been unused on the web for many years.

You can perform a “before and after” test to confirm that VML rendering has been disabled with this simple VML
rendering of an office layout:
[Aby zobaczyć linki, zarejestruj się tutaj]
The proper response is a BLANK PAGE.If you receive a notice that “A VML capable browser is required…” you must add
the vmlmaker.com domain to IE’s “Compatibility View” for the test to function properly. This is done under the settings menu.

Źródło:

[Aby zobaczyć linki, zarejestruj się tutaj]

zbc · 01.05.2014, 10:22

wojek napisał(a):Znalazłem ciekawy sposób na prawdopodobne uniknięcie tego zagrożenia - wyłączenie VML.
Bardzej zorientowanych w temacie Kolegów proszę o komentarz, czy to bezpieczne rozwiązanie
(w sensie, że coś się po tym nie posypie, nie od/zainstaluje, czy to VML jest do czegoś potrzebne, itd.).

Cytat: To immediately protect any use of Internet Explorer – yes, even on creaky old WinXP
(the XPocalypse has been delayed):You must first open a command prompt window with administrative privileges.
This is done by right-clicking on the Command Prompt icon in the start menu and selecting “Run As Administrator.”
Commands issued within this window will have the privilege required to make system level changes.

32-bit systems only require the first command. But since 64-bit systems have both
a 32-bit and 64-bit version of the vulnerable file, both commands must be used with them:

Kod:
regsvr32 -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" regsvr32 -u "%CommonProgramFiles(x86)%\Microsoft Shared\VGX\vgx.dll"

These commands unregister (-u) the VML renderer, making it inaccessible to the exploit attempt.
Your IE browser will no longer be able to render vector markup language content, but it’s been unused on the web for many years.

You can perform a “before and after” test to confirm that VML rendering has been disabled with this simple VML
rendering of an office layout:
[Aby zobaczyć linki, zarejestruj się tutaj]
The proper response is a BLANK PAGE.If you receive a notice that “A VML capable browser is required…” you must add
the vmlmaker.com domain to IE’s “Compatibility View” for the test to function properly. This is done under the settings menu.

Źródło:

[Aby zobaczyć linki, zarejestruj się tutaj]

Bardzo ciekawe! Smile

Ze swojej strony: Jak ktoś nadal korzysta z IE to dorzucam do rad ichito (oprócz EMET) zainstalownie MBAE i HMPA...

01.05.2014, 12:21

@zbc:
Bój Ty się boga... musisz cytować takiego giganta?!

wojek · 01.05.2014, 19:47

Ha, niezły numer - Microsoft wypuścił dziś (1.V.) aktualizację/łatę dla IE również dla Windows XP:

[Aby zobaczyć linki, zarejestruj się tutaj]

(link dla IE8, są też dla wcześniejszych wersji IE). Poczekam z ciekawości, czy aktualizacja przyjdzie automatycznie.

A omówienie problemu dla wszystkich OS jest tutaj:

[Aby zobaczyć linki, zarejestruj się tutaj]

wojek · 23.05.2014, 11:10

Niestety, wykryto kolejną lukę w IE8, która zatem - z racji starszej wersji IE - dotyczy szczególnie użytkowników Windows XP:

Cytat: A critical security flaw in Microsoft''s Internet Explorer 8 has gone unfixed since October 2013, according to a new report from the Zero-Day Initiative.

The report, which was issued because of ZDI''s policy to reveal zero-day flaws that go unfixed for more than 180 days, says that the vulnerability allows
an attacker to run malicious code in IE 8 when you visit a website designed to infect your computer.

Microsoft learned of the zero-day -- the term given to a previously unknown, unpatched flaw -- in October but has been unable to fix it.
Whether that''s because IE 8 is the last version of the browser to support Windows XP, which Microsoft officially no longer supports,
or because the flaw itself is hard to fix, Microsoft would not say.

Bardziej szczegółowy opis zagrożenia:

Cytat: This vulnerability allows remote attackers to execute arbitrary code on vulnerable installations of Microsoft Internet Explorer.
User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file.

The specific flaw exists within the handling of CMarkup objects. The allocation initially happens within CMarkup::CreateInitialMarkup.
The free happens after the execution of certain JavaScript code followed by a CollectGarbage call. By manipulating a document''s elements an attacker can force
a dangling pointer to be reused after it has been freed. An attacker can leverage this vulnerability to execute code under the context of the current process.

Tu można przeczytać więcej o problemie (linki źródłowe):

[Aby zobaczyć linki, zarejestruj się tutaj]

O ile MS nie wypuści kolejnej ekstra-aktualizacji dla Windows XP, można próbować chronić się przy użyciu np. MBAE:

[Aby zobaczyć linki, zarejestruj się tutaj]

zbc · 23.05.2014, 12:37

wojek napisał(a):Niestety, wykryto kolejną lukę w IE8, która zatem - z racji starszej wersji IE - dotyczy szczególnie użytkowników Windows XP

Pozostaje pytanie, czy korzystać z tej przeglądarki (nawet najnowsze wersje). IMO tylko wtedy, gdy nie ma innej, innymi słowami nie polecam Wink

.

Cytat: A
O ile MS nie wypuści kolejnej ekstra-aktualizacji dla Windows XP, można próbować chronić się przy użyciu np. MBAE:

[Aby zobaczyć linki, zarejestruj się tutaj]

Czemu tylko do czasu aktualizacji? MBAE chroni użytkownika przed atakami nawet nieznanych exploitów, które mogą wykorzystać też nieznane luki bezpieczeństwa, innymi słowy, moim zdaniem, warto korzystać z MBAE zawsze, bo luki bezpieczeństwa mogą być jeszcze nieodkryte Smile

.

wojek · 24.05.2014, 00:55

zbc napisał(a):Pozostaje pytanie, czy korzystać z tej przeglądarki (nawet najnowsze wersje). IMO tylko wtedy, gdy nie ma innej, innymi słowami nie polecam

Np. ja jej używam incydentalnie. Smile

Ale chyba jest to wciąż najczęściej używana przeglądarka.
Problem tym razem dotyczy raczej tylko IE8, czyli ostatniej/najwyższej wersji IE używanej na Windows XP.

zbc napisał(a):Czemu tylko do czasu aktualizacji? MBAE chroni użytkownika przed atakami nawet nieznanych exploitów,
które mogą wykorzystać też nieznane luki bezpieczeństwa, innymi słowy, moim zdaniem, warto korzystać z MBAE zawsze, bo luki bezpieczeństwa mogą być jeszcze nieodkryte

To prawda; chodziło mi głównie o to, że najlepszym (najbardziej skutecznym) rozwiązaniem problemu
jest działanie u źródła, czyli tutaj załatanie luki w programie w którym ją wykryto,
a dopiero w następnej kolejności używanie programów chroniących przed złośliwym oprogramowaniem
(w tym przypadku przed exploitami).

A co do MBAE, to następna wersja ma już obejmować dodawanie do ochrony dowolnie wybranych przez użytkownika programów:

[Aby zobaczyć linki, zarejestruj się tutaj]

Zaloguj się
Login:
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie