Các cuộc tấn công vào chỗ bị tổn thương mới phát hiện trong IE6 và 7

Attackson newly discovered vulnerability in IE 6 and 7

10 March 2010, 13:44

Theo:http://www.h-online.com/security/news/item/Attacks-on-newly-discovered-vulnerability-in-IE-6-and-7-950737.html

Bài được đưa lênInternet ngày: 10/03/2010

Lờingười dịch: Có lẽ chuyện lỗ hổng an ninh với Windowsvà IE là thứ gì đó nếu bạn cố gắng viết về nó chođủ thì sẽ phải viết hàng ngày, và lần này là mộttổn thương của IE đối với thành phần iepeers.dll.

Microsoft đang cảnhbáo về một chỗ bị tổn thương chưa được vá trongInternet Explorer 6 và 7, mà đã đang bị khai thác trong cáccuộc tấn công có chủ đích để lây nhiễm các máy tínhcá nhân Windows với một Trojan. Theo Microsoft, vấn đề nàyxảy ra do những con trỏ bị xóa không đúng cách, mà vẫncó thể truy cập được sau các đối tượng được tungra. Mã nguồn bị tấn công sẽ chạy với các quyền củangười sử dụng. Lỗi này là trong thành phần iepeers.dll.

Microsoft nói hãng sẽ“tiếp tục theo dõi” tình trạng này - như khi có chỗbị tổn thương F1 trong Internet Explorer mà vẫn còn giữchưa được vá từ đầu tuần trước - và việc xem xéttiếp theo của vấn đề này. Dựa vào sự kết thúc điềutra của họ thì họ sẽ quyết định liệu có hay khôngviệc công bố một bản vá nằm ngoài chu kỳ. Họ khuyếncáo người sử dụng chuyển sang Internet Explorer 8 vì nókhông bị ảnh hưởng. Hơn nữa, Chế độ được Bảo vệtrong Internet Explorer trên Windows Vista hoặc hệ điều hànhWindows sau này hạn chế ảnh hưởng của cuộc tấn côngnày vì một cuộc tấn công chỉ gây ra theo các quyền hệthống bị hạn chế.

Như một sự lựachọn, người sử dụng cũng có thể chuyển sang Firefox,Opera, Chrome hoặc Safari. Tuy nhiên, ngay cả những trìnhduyệt này cũng có những chỗ bị tổn thương, mà chúngkhông bị tấn công thường xuyên như Internet Explorer. Vìcác nghiên cứu đã chỉ ra rằng trong nhiều trường hợplà có lỗi trong Adobe Reader và các cài cắm Flash mà bịkhai thác để lây nhiễm một máy tính cá nhân thông quaweb, an ninh cảm nhận được của trình duyệt đóng mộtvai trò nhỏ hơn so với trước.

Như một sự khắcphục, Microsoft cũng khuyến cáo hạn chế các quyền đốivới thành phần lỗi iepeers.dll và chỉ dẫn cách làm thếnào để điều này có thể được thấy trong báo cáo gốcban đầu của Microsoft. Tuy nhiên, điều này có thể cónghĩa rằng một số chức năng không còn làm việc đượcđúng nữa. Hơn nữa, báo cáo này mô tả việc Vô hiệuhóa Active scripting và chuyển sang chế độ bảo vệ chốngviệc thực thi dữ liệu (DEP).

Vì Outlook, OutlookExpress và Windows Mail mở thư điện tử HTML mặc địnhtrong vùng các site bị hạn chế Restricted nên các kiểmsoát Active Scripting và ActiveX được ngăn ngừa, chỗ bịtổn thương không thể được khai thác thông qua nhữngchương trình thư này. Tuy nhiên nếu một người sử dụngnháy vào một thư điện tử thì họ có thể vẫn bị tổnthương.

Microsoftis warning of an unpatched vulnerability in Internet Explorer 6 and7, which is already being actively exploited in targeted attacks toinfect Windows PCs with a Trojan. According to Microsoft, the issueis caused due to improperly de-leted pointers, which are stillaccessible after objects are released. The injected code will runwith user privileges. The bug is in the component iepeers.dll.

Microsoftsays it will "continue to monitor" the situation – asalready there is the F1 vulnerability in Internet Explorer whichremains unpatched f-rom the beginning of last week – and furtherexamine the problem. Upon completion of their investigation they willdecide whether or not to publish an out-of-cycle patch. Theyrecommend users switch to Internet Explorer 8 as it is not affected.In addition, Protected Mode in Internet Explorer on Windows Vista orlater Windows OS limits the impact of this attack because asuccessful attack only results in very limited system rights.

Al-ternatively,users can also switch to Firefox, Opera, Chrome or Safari. However,even these browsers have vulnerabilities, but they are not attackedas frequently as Internet Explorer. Since studies have shown that inmost cases it is holes in Adobe Reader and Flash plug-ins that areexploited to infect a PC via the web, the perceived security of thebrowser plays a smaller role than before.

Asa workaround, Microsoft also recommends restricting permissions onthe faulty component iepeers.dlland instructions on how to do this can be found in the originalMicrosoft report. However, this may mean that some functions nolonger work correctly. In addition, thereport describes Disabling Active scripting and turning on theData Execution Prevention (DEP) protection.

BecauseOutlook, Outlook Express and Windows Mail open HTML email by defaultin the Restricted sites zone were Active Scripting and ActiveXcontrols are prevented, the vulnerability cannot be exploited throughthese mail programs. However if a user clicks a link in an email theycould still be vulnerable.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com