Корпорация Microsoft выпустила новый
кумулятивный патч для браузера Internet Explorer
версий 5.01, 5.5 и 6.0. Он обладает
функциональностью всех выпущенных до этого
заплаток к указанным версиям браузера Microsoft,
а также исправляет две новые опасные дыры.
Важной особенностью новой заплатки
является то, что устанавливать ее нужно и
пользователям новой операционной системы
Windows Server 2003. Это первый патч для новейшей
серверной ОС Microsoft.
Обеим новым дырам Microsoft присвоила рейтинг
критических. Используя их, злоумышленник
может запустить на компьютере жертвы
произвольный код с привилегиями
работающего в данный момент пользователя. В
случае Windows Server 2003 обе дыры представляют
умеренную опасность, так как при
задействованной по умолчанию опции Enhanced
Security Configuration все способы использования дыр
заблокированы.
Первая из уязвимостей связана с
неправильной обработкой браузером тэга object.
Этот тег обычно используется для вставки
объектов (например, компонентов ActiveX) в HTML-страницу.
Свойство "Type" этого тега, в свою
очередь, предназначено для описания MIME-типа
вставляемого объекта ("plain/text", "application/hta",
"audio/x-mpeg" etc.). Была обнаружена
возможность переполнения буфера в этом
свойстве. Хотя броузер и выполняет проверку
границ буфера при разборе тега "Object",
эту проверку можно обойти при помощи
специальных символов. Реализация атаки на
уязвимость достаточно проста и основана на
переполнении стека буфера и позволяет
удалённому злоумышленнику выполнить
произвольный код в атакуемой системе. Так
как уязвимость основана на HTML, атака может
быть осуществлена через ньюс-группы, почту
и Вэб-сайты. Код выглядит следующим образом
- <object type="[/x64]AAAAAAAAAAAAAAAA">Cooler Than Centra Spike</object>.
Варьируя количество символов "/" можно
осуществить подобную атаку на другие типы M$-ОС.
В результате подобного "расширения"
возникает возможность перезапуска буфера (или
срыва буфера - buffer overrun. Cледствием этого
является получение полного контроля над
ключевыми регистрами и возможность запуска
любого кода, который будет загружен в
регистр EDX (перед этим осуществляет JMP EDX).
Вторая дыра связана с ошибками при работе
с несколькими диалогами загрузки файла.
Если злоумышленник заставит браузер
открыть слишком много таких диалогов и
вызовет перегрузку браузера, то он получит
возможность открыть на компьютере любой
файл или запустить произвольный код. Для
использования данной дыры также необходимо
заманить пользователя на особым образом
сформированную веб-страницу и заставить
его кликнуть по ссылке, открывающей диалоги
загрузки файлов.
Подробности о новых дырах и кумулятивном
патче можно найти в бюллетене безопасности
Microsoft c индексом MS03-020.
