Windows - 17 éves biztonsági sebezhetőség

>> 2010. január 21.


Egy 17 éves hibát találtak a Microsoft Windows alapú rendszerében, amit még a mai napig nem javított ki a szoftveróriás, pedig már múlt év június óta tud a hiba létezéséről. A biztonsági sebezhetőség pedig az 1993 óta megjelent 32bites rendszerek esetén áll fenn, így a jelenleg használt Windows rendszerek igen tetemes hányada van kitéve a hibának.

A hibáról még kedden számolt be egy levelezőlistán Tavis Ormandy, aki már múlt év júniusában értesítette a Microsoft-ot a sebezhetőségről. Azóta a szoftveróriás még nem lépett semmit, de valószínűleg a mostani nagyobb körű nyilvánosság miatt rövid időn belül hibajavítást fog elérhetővé tenni a felhasználók számára.
A biztonsági sebezhetőség lehetőséget nyújt a privilégiumok nélküli felhasználónak arra, hogy az tetszőleges kódot injektáljon a Windows kerneljébe egy speciálisan megírt program segítségével. A hiba a virtuális DOS gépben (VDM) található, amelyet a Microsoft még 1993-ban mutatott be a Windows NT-vel. A szakember bejelentése szerint az alábbi rendszerek 32bites változatai érintettek a sebezhetőségben:
  • Windows 2000
  • Windows XP
  • Windows Server 2003
  • Windows Vista
  • Windows Server 2008
  • Windows 7
Ormandy szerint a proof of concept kódot Windows XP, Windows Server 2003/2008, Windows Vista és Windows 7 rendszereken tesztelték.
A hiba kiküszöbölésére jelenleg két mód létezik. Az egyik megoldás szerint - amit a szakember is ajánl - az a MSDOS és a WOWEXEC alrendszerek leállítása, így a hiba nem fog fennállni a fenn leírt rendszereken, viszont az ezt igénylő alkalmazásoknál hiba léphet majd fel. A másik megoldás a 64bites rendszerekre való váltás, így nem kell különböző alrendszerek leállításaival foglalkozni.

Frissítés: A Microsoft Security Response Center (MSRC) weboldalon tegnap Jerry Bryant bejelentette, hogy kiadtak egy biztonsági figyelmeztetőt a szóban forgó Elevation of Privilege (EoP) hibáról.

0 megjegyzés:

Megjegyzés küldése

Kapcsolat

In4Sane™ Blog © 2013 - http://i4s.hu

Ha kérdésed, problémád, vagy egyéb észrevételed akadna, akkor írj bátran oldalunk email címére, és amint tudunk válaszolunk.

Jelentkezés

Az i4s csapat folyamatosan várja vállalkozó kedvű BLOGGERek jelentkezését az oldal e-mail címén. Ha csak egy kicsit is érdekel a lehetőség, ne habozz, küldj nekünk üzenetet és mi tájékoztatunk a követelményekről és az egyéb részletekről.

i4s infó

Ha a főoldal nem működne, vagy egyéb háttérinformációkra vagy kíváncsi, látogasd meg Twitter csatornánkat az i4s Twitter linkre kattintva. Oldalunkat "lájkolhatod" Facebook-on, valamint "+-olhatod" a Google Plus-on is.
Az oldalon közölt screencastok, illetve videók megtekinthetőek az oldal YouTube csatornáján: i4s YouTube.
A közelgő fontos eseményekre az i4s naptárjából készülhetsz fel.

  © Webnolia - Blogger --> i4s.hu - In4Sane™ Blog © 2008-2015

Vissza a lap TETEJÉRE