Windows-hull fikset

[abene]

Et sikkerhethetsselskap har sluppet en oppdatering som fikser hullet i måten Windows behandler animerte musepekere.

Les mer

[Limbeck]

Kan man stole på sånt da

[tom waits for alice]

Med mindre man vet man kan stole på 3. parten, skal man selvsagt være forsiktig. Dels fordi fiksen i seg selv kan seile under falsk flagg og være ondsinnet, dels fordi den kan være full av bugs og skape andre problemer. Sånne "dagen etter" fikser har jo ikke vært igjennom noen grundig testfase...

 

Så prinsipielt har Microsoft et poeng. Har man ikke hørt om eEye Digital Security Research før, bør man være like skeptisk til dem som til andre, og sjekke om de er til å stole på.

 

Ellers er det vel rimelig å anta at de andre sikkerhetsselskapene oppdaterer sin programvare til å håndtere denne trusselen også.

 

Geir

[Thorsen]

Jupp helt enig.. slike tredjepartsfixer bør man være skeptiske til.

[G]

Også litt enig. Men dersom det bare er enkle grep som å deaktivere noe som en senere kan aktivere igjen så er det nok greit.

 

Ellers har jo ikke tredjepart særlig innsikt i programkoden til windows, og derfor er det en større utfordring å lage slike fikser.

[efikkan]

Jeg ville sett fyldig dokumentasjon før jeg eventuelt ville tatt noe slikt i bruk.

 

Men som alltid er det nok brukeren som er det svakeste leddet.

[Micromus]

Hvis dere ikke har hørt om eEye er det på tide å få hodet ut av skuffen. eEye er et meget reputabelt selskap som har holdt på med sikkerhet i over 10 år. Søk det opp dere som fremdeles er skeptiske.

[Lurifaksen]

Hvordan kan en slik feil være "ekstremt kritisk"?

 

Helt alvorlig, du må jo først laste ned noe fra et suspekt nettsted, og da kunne det jo like godt vært en trojan eller vanlig vanlig virus.

 

Er poenget at det ikke er filtypen .exe som må kjøres? I så fall er det vel ekstremt kritisk om noen publiserte en trojan skjult som en installasjonsfil (exe) til en musepeker også.

[CAT0]

Hvordan kan en slik feil være "ekstremt kritisk"?

 

Helt alvorlig, du må jo først laste ned noe fra et suspekt nettsted, og da kunne det jo like godt vært en trojan eller vanlig vanlig virus.

8280527[/snapback]

Aldri undervurder en Windows-bruker

[DarkSlayer]

Feilen gjelder winxp, 2003, 2k, Vista.

 

Slik jeg forstår det så er det kun et problem OM man kjører som administrator. Web browseren regner jeg med ikke kjører i admin modus på vista som da burde hjelpe litt på sikkerheten. Win2k og WinXP så er jo brukeren admin som standard, og derfor et større problem.

 

Kode som kjøres i admin modus vil jo ha tilgang til veldig mye av systemet, mens standard vista bruker har begrenset rettigheter (tar det ut av eget hode, tar forbehold om synse-feil her). Så jeg vet ikke hvor mye skade som er mulig å lage i vista med standard bruker. Men nå antar jeg at de fleste nerdene her kjører vista som admin, og linux som root ... så da gir det vel seg selv hehe.

 

http://www.kb.cert.org/vuls/id/191609

http://research.eeye.com/html/alerts/zeroday/20070328.html

Endret 31. mars 2007 av DarkSlayer

[Zlatzman]

Hvordan kan en slik feil være "ekstremt kritisk"?

 

Helt alvorlig, du må jo først laste ned noe fra et suspekt nettsted, og da kunne det jo like godt vært en trojan eller vanlig vanlig virus.

 

Er poenget at det ikke er filtypen .exe som må kjøres? I så fall er det vel ekstremt kritisk om noen publiserte en trojan skjult som en installasjonsfil (exe) til en musepeker også.

8280527[/snapback]

Sikker på dette? Fra eEye:

The most potent attack method is by embedding a malicious .ANI file within an HTML web page. Doing so allows the vulnerability to be exploited with minimal user interaction by simply coaxing a user to follow a hyperlink and visit a malicious web site. 

 

Jeg leser det som at det skal være nok å gå inn på siden som inneholder den skadelige programvaren, men sikker er jeg ikke.

Endret 31. mars 2007 av Zlatzman

[DarkSlayer]

filer som .ico .cur .ani er de som er problemet. (slik det står i første linken min).

weblesere, office og windows benytter samme .dll for å behandle disse filene, og det er der feilen ligger. Husk at customized cursor can jo bli definert både her og der.

[Lurifaksen]

Jeg leser det som at det skal være nok å gå inn på siden som inneholder den skadelige programvaren, men sikker er jeg ikke.

8282238[/snapback]

I så fall er jo saken en annen, men problemet er jo i så fall IE-spesifikt (dvs trusselen). Opera tar i alle fall ikke i bruk musepekere ut i fra html-kode.

 

Test denne URL'en f.eks (inneholder ikke virus): http://www.fontstuff.com/frontpage/custompage.htm

 

Men har denne buggen noen muligheter utover å crashe explorer? (som mest sannsynlig enkelt kan fikses ved hjelp av reboot, eller i verste fall safe mode) I så fall kan det jo uansett ikke kalles ekstremt kritisk. Windows klarer jo ofte det på egenhånd

Endret 31. mars 2007 av Lurifaksen

[loathsome]

Vel, NOD32 tilintetgjør dette hullet uten problemer.