Lỗ thủng của Windows được phát hiện sau 17 năm - Cập nhật

Thứ sáu - 22/01/2010 06:41

Windowshole discovered after 17 years - Up-date

20January 2010, 13:36

Theo:http://www.h-online.com/security/news/item/Windows-hole-discovered-after-17-years-Up-date-908917.html

Bàiđược đưa lên Internet ngày: 20/01/2010

Lờingười dịch: Chúng ta từng được biết thông tin vềviệc số lượng lỗi sống còn trong hệ điều hành phầnmềm tự do nguồn mở RedHat Enterprise Linux cả phiên bản 4.0 và 5.0 là bằng 0,còn bây giờ ta biết thêm rằng trong Microsoft Windows cólỗi đã 17 năm nay bây giờ mới được phát hiện.

Microsoftkhông có được thời khắc dễ dàng những ngày này. Bổsung cho lỗ thủng còn chưa được vá trong InternetExplorer, một lỗ thủng bây giờ được phát hiện trongWindows cho phép người sử dụng với quyền hạn chế leolên được các quyền ưu tiến của họ ở mức hệ thống- và điều này được tin là có thể có trên tất cảcác phiên bản 32 bit của Windows từ Windows NT 3.1 cho tới,và bao gồm cả Windows 7. Trong khi tính có thể bị tổnthương này hình như sẽ ảnh hưởng tới những ngườisử dụng ở nhà chỉ là không đáng kể, thì các quảntrị viên ở các mạng doanh nghiệp có lẽ sẽ phải bậnrộn suốt tuần này.

Vấnđề này được gây ra bởi những lỗi trong Máy Ảo DOS(VDM) được giới thiệu vào năm 1993 để hỗ trợ cácứng dụng 16 bit (các ứng dụng ở chế độ thực cho8086). VDM được dựa trên chế độ Ảo 8086 (VM86) trongcác vi xử lý 80386 và, chặn các thủ tục phần cứngnhư các lời gọi BIOS. Thành viên độian ninh của Google Tavis Ormandy đã thấy vài chỗ bị tổnthương trong triển khai này mà chúng cho phép một chươngtrình 16 bit không có quyền sẽ điều hành được kho củanhân đối với mỗi quá trình thông qua một số lượngcác mẹo. Điều này cho phép một cách tiềm tàng nhữngkẻ tấn công chạy các mã nguồn ở mức ưu tiên của hệthống.

Ormandycũng đã đưa ra một khai thác phù hợp mà nó hoạt độngtrong Windows XP, Windows Server 2003 và 2008, Windows Vista vàWindows 7. Khi được thử nghiệm bởi TheH's associates at heise Security, sự khai thác đã mở một lờinhắc lệnh theo ngữ cảnh của hệ thống, mà nó có mứcquyền cao nhất, trong Windows XP và Windows 7. Chưa từng cóbản vá nào sẵn sàng, dù Ormandy nói rằng Microsoft đãđược thông tin về lỗ hổng này từ giữa năm 2009. Lậptrình viên này đã quyết định công bố thông tin này vì,theo ý kiến của anh ta, có một cách khắc phục đơngiản: vô hiệu hóa hệ thống phụ của MS-DOS.

Microsoftisn't having an easy time of it these days. In addition to theunpatchedhole in Internet Explorer, a now published hole in Windows allowsusers with restricted access to escalate their privileges to systemlevel – and this is believed to be possible on all 32-bit versionsof Windows f-rom Windows NT 3.1 up to, and including Windows 7. Whilethe vulnerability is likely to affect home users in only a minor way,the administrators of corporate networks will probably have theirhands full this week.

Theproblem is caused by flaws in the VirtualDOS Machine (VDM) introduced in 1993 to support 16-bitapplications (real mode applications for 8086). VDM is based on theVirtual 8086 Mode (VM86) in 80386 processors and, among other things,intercepts hardware routines such as BIOS calls. Google security teammember Tavis Ormandy has found several vulnerabilities in thisimplementation that allow an unprivileged 16-bit program tomanipulate the kernel stack of each process via a number of tricks.This potentially enables attackers to execute code at systemprivilege level.

Ormandyhas also published a suitable exploit which functions under WindowsXP, Windows Server 2003 and 2008, Windows Vista and Windows 7. Whentested by the The H's associates at heise Security, the exploitopened a command prompt in the system context, which has the highestprivilege level, under Windows XP and Windows 7. No patch has becomeavailable, although Ormandy reports that Microsoft was alreadyinformed of the hole in mid 2009. The developer decided to publishthe information regardless because, in his opinion, there is a simpleworkaround: to disable the MS-DOSsubsystem.

Việckhắc phục này đòi hỏi người sử dụng phải khởi tạotrình soạn thảo chính sách nhóm và kích hoạt lựa chọn"Prevent access to 16-bit applications" (Ngăn cản truycập tới các ứng dụng 16 bit) trong khu ComputerConfiguration\Administrative Templates\Windows Components\ApplicationCompatibility. Khiđược thử nghiệm với những thiết lập này bởi độiAn ninh của heise, khai thác này không còn hoạt động đượcnữa. Các thiết lập này được cho là không gây ra bấtký vấn đề tương thích chủ chốt nào cho hầu hếtnhững người sử dụng trong khi các ứng dụng 16 bit đangđược sử dụng.

Cậpnhật - Lựa chọn ở trên chỉ sẵn sàng thông qua trìnhsoạn thảo chính sách nhóm trên Windows 2003. Một số phiênbản của Windows không có trình soạn thảo chính sáchnhóm. Như một giải pháp thay thế, người sử dụng cũngcó thể tạo một khóa đăng ký trong\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat vớimột giá trị của D-Word của VDMDissallowed = 1. Trong WindowsXP, để ngăn ngừa hệ thống khỏi bị tổn thương đốivới khai thác này, người sử dụng có thể đưa vào dòngsau đây:

WindowsRegistry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat]

"VDMDisallowed"=dword:00000001

vàomột tệp được gọi là vdmdisallow.reg và nháy đúp vàotệp này. Windows sẽ sau đó tự động nhập khóa (cácquyền quản trị được yêu cầu để tiến hành hànhđộng này).

Theworkaround requires users to start the grouppolicy editor and enable the "Prevent access to 16-bitapplications" option in the ComputerConfiguration\Administrative Templates\Windows Components\ApplicationCompatibilitysection. When tested with these settings by the heise Security team,the exploit no longer functioned. The settings reportedly don't causeany major compatibility problems for most users while no 16-bitapplications are being used.

Up-date- The above option is only available through the group policy editoron Windows 2003 systems. Some versions of Windows do not include agroup policy editor. As an al-ternative, users can also cre-ate aregistry key under\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompatwith a D-Word value of VDMDissallowed = 1. Under Windows XP, toprevent the system f-rom being vulnerable to the exploit, users canplace the following text: 

WindowsRegistry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat]

"VDMDisallowed"=dword:00000001

intoa file called vdmdisallow.reg and double click the file. Windows willthen automatically import the key (admin rights are required toperform this action).

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

  Ý kiến bạn đọc

Những tin mới hơn

Những tin cũ hơn

Về Blog này

Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...

Bài đọc nhiều nhất trong năm
Thăm dò ý kiến

Bạn quan tâm gì nhất ở mã nguồn mở?

Thống kê truy cập
  • Đang truy cập156
  • Máy chủ tìm kiếm15
  • Khách viếng thăm141
  • Hôm nay21,574
  • Tháng hiện tại470,353
  • Tổng lượt truy cập36,528,946
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây