Lỗi nặng trong IE8 biến các site 'an toàn' thành không an toàn

MajorIE8 flaw makes 'safe' sites unsafe

Dan Goodin, The Register2009-11-23

Theo:http://www.securityfocus.com/news/11565

Bài được đưa lênInternet ngày: 23/11/2009

Phiên bản mới nhấtcủa trình duyệt Internet Explorer của Microsoft chứa mộtlỗi mà nó có thể là nguyên nhân cho các cuộc tấn côngnghiêm trọng về an ninh chống lại các website mà bìnhthường là an toàn.

“Chúng tôi nhậnthức được về một lỗi đáng kể ảnh hưởng tới XSSFilter trong IE8, và chúng tôi sẽ tiến hành các bước đểgiúp bảo vệ người sử dụng của chúng tôi bằng việcvô hiệu hóa cơ chế trên các đặc tính của chúng tôicho tới khi một sửa lỗi được đưa ra”.

Ngườiphát ngôn của Google

Lỗi trong IE8 có thểbị khai thác để giới thiệu XSS, hoặc scripting xuyên cácsite, các lỗi trên các trang web mà chúng đáng ra là antoàn, theo 2 nguồn của Register, người đã thảo luận vềlỗi này trong điều kiện chúng không được xác định.Microsoft đã được nhắc về chỗ bị tổn thương này íttháng trước, họ nói.

Thật chớ trêu, lỗinày nằm trong một bảo vệ được bổ sung bởi các lậptrình viên của Microsoft cho IE8 mà chúng được thiết kếđể ngăn chặn các cuộc tấn công XSS chống lại cácsite. Tính năng này làm việc bằng việc viết lại cáctrang bị tổn thương bằng việc sử dụng một kỹ thuậtđược biết tới như việc mã hóa đầu ra sao cho nhữngđặc tính và giá trị gây hại bị thay thế bằng nhữngthứ an toàn hơn. Một người phát ngôn của Google đãkhẳng định có một “lỗi đáng kể” trong tính năngcủa IE8 nhưng đã từ chối cung cấp các chi tiết.

Không rõ làm thế nàonhững bảo vệ này có thể gây ra những chỗ bị tổnthương của XSS trong các website mà chúng đáng ra là antoàn. Michael Coates - một kỹ sư về an ninh ứng dụng caocấp tại Aspect Security mà đã nghiên cứu sát sao tínhnăng này những đã không nhận ra được chỗ bị tổnthương này - phỏng đoán nó có thể gây ra cho IE8 viếtlại các trang theo cách mà các giá trị mới này khíchđộng một cuộc tấn công trên một site sạch.

“Nếu một kẻ tấncông có thể chỉ ra một lỗi theo cách mà IE 8 thực sựđang làm mà việc mã hóa đầu ra và sau đó tạo ra mộtchuỗi đặc chủng mà kẻ tấn công sẽ biết sẽ đượctruyền vào một cuộc tấn công thực sự, thì chúng cóthể sử dụng điều đó để đưa vào một giá trị...mà thực sự gây ra một cuộc tấn công lên trang đó”,ông nói. “Điều này có thể là một cách để giớithiệu một cuộc tấn công trong một trang mà nó đáng rađã không có một chỗ bị tổn thương”.

Thelatest version of Microsoft's Internet Explorer browser contains abug that can enable serious security attacks against websites thatare otherwise safe.

“We're aware of a significant flaw affecting the XSS Filter in IE8,and we've taken steps to help protect our users by disabling themechanism on our properties until a fix has been released. ”

Googlespokesperson

Theflaw in IE 8 can be exploited to introduce XSS, or cross-sitescripting, errors on webpages that are otherwise safe, according totwo Register sources, who discussed the bug on the condition they notbe identified. Microsoft was notified of the vulnerability a fewmonths ago, they said.

Ironically,the flaw resides in a protection added by Microsoft developers to IE8 that's designed to prevent XSS attacks against sites. The featureworks by rewriting vulnerable pages using a technique known as outputencoding so that harmful c-haracters and values are replaced withsafer ones. A Google spokesman confirmed there is a "significantflaw" in the IE 8 feature but declined to provide specifics.

It'snot clear how the protections can cause XSS vulnerabilities inwebsites that are otherwise safe. Michael Coates - a seniorapplication security engineer at Aspect Security who has closelystudied the feature but was unaware of the vulnerability - speculatesit may be possible to cause IE 8 to rewrite pages in such a way thatthe new values trigger an attack on a clean site.

"Ifthe attacker can figure out a flaw in the way IE 8 is actually doingthat output encoding and then cre-ate a specific string the attackerwill know will be transformed into an actual attack, they could usethat to input a value ... that actually results in an attack firingon the page," he said. "This could be a way to introduce anattack into a page that didn't have a vulnerability otherwise."

Cáccuộc tấn công là một cách điều khiển một URL củasite để phun mã hoặc nội dung độc vào một trang webđược tin cậy. Nhiều nhà quan sát an ninh đã tới coinhững bảo vệ của IE8 như câu trả lời của Microsoftcho NoScript, một mở rộng phổ biến mà nó giúp ngăn cảnXSS và các dạng tấn công khác chống lại người sửdụng trình duyệt Firefox.

Cuốichiều thứ năm, Microsoft đã nói cho The Register: “Microsoftđang nghiên cứu những khiếu nại mới của công chúng vềmột chỗ bị tổn thương trong Internet Explorer. Chúng tahiện không biết về bất kỳ cuộc tấn công nào đang cốsử dụng chỗ bị tổn thương được khiếu nại hoặcvề ảnh hưởng của khách hàng”.

Mộtkhi cuộc điều tra của mình được kết thúc, hãng sẽ“tiến hành các hành động phù hợp”, bao gồm cả việcđưa ra một bản vá hoặc chỉ dẫn về cách làm thế nàongười sử dụng có thể bảo vệ được chính họ chốnglại sự khai thác này.

KhiMicrosoft đã đưa ra những bảo vệ này, hãng cũng đã tạora một cách cho những quản trị web để viết đè lêntính năng này (bằng việc bổ sung đầu đề cho câu trảlời “X-XSS-Protection: 0)”. Một sự xem xét lại đốivới 50 website được viếng thăm nhiều nhất chỉ ra rằngchỉ các đặc tính web được sở hữu bỏi Google thựcsự có sự lựa chọn để làm thế này. Số lượng nhỏcác site khóa bảo vệ gợi ra câu hỏi chỗ bị tổnthương này lan truyền như thế nào.

Đượchỏi vì sao Google lại bỏ sự bảo vệ này, một ngườiphát ngôn của hãng đã viết trong một thư điện tử:“Chúng tôi nhận thức được về một lỗi đáng kểảnh hướng tới XSS Filter trong IE8, và chúng tôi đã tiếnhành các bước để giúp bảo vệ người sử dụng củachúng tôi bằng việc vô hiệu hóa cơ chế trên các đặctính cho tới khi một sửa lỗi được đưa ra”. Ông tađã không giải thích kỹ.

XSSattacks are a way of manipulating a site's URL to inject maliciouscode or content into a trusted webpage. Many security watchers havecome to view the IE 8 protections as Microsoft's answer to NoScript,a popular extension that helps prevent XSS and other types of attacksagainst users of the Firefox browser.

Lateon Thursday afternoon, Microsoft told The Register: "Microsoftis investigating new public claims of a vulnerability in InternetExplorer. We're currently unaware of any attacks trying to use theclaimed vulnerability or of customer impact."

Onceits investigation is finished, the company will "takeappropriate action," including issuing a patch or guidance onhow users can protect themselves against exploits.

WhenMicrosoft introduced the protections, it also cre-ated a way forwebmasters to override the feature (by adding the response header"X-XSS-Protection: 0"). A review of the top 50 most visitedwebsites shows that only web properties owned by Google have actuallyopted to do so. The small number of sites blocking the protectioncalls into question how widespread the vulnerability is.

Askedwhy Google was forgoing the protection, a company spokesman wrote inan email:

"We'reaware of a significant flaw affecting the XSS Filter in IE8, andwe've taken steps to help protect our users by disabling themechanism on our properties until a fix has been released." Hedidn't elaborate.

Bổ sung vào với việcđưa ra những chỗ bị tổn thương nghiêm trọng đáng kểtrong các trang web, những bảo vệ XSS này có thể mang tớinhững kết quả không mong đợi khác. Đó là vì động cơcủa nó thường làm yếu đi những đặc tính chấp nhậnđược một cách tuyệt vời thành tai hại tiềm tàng. Mộtví dụ về lỗi đó là ởđây.

David Ross, một kỹ sưlâu năm về an ninh phần mềm của Microsoft, đã nói chocác lập trình viên thiết kế tính năng này hướng tớiđể đánh vào một sự cân bằng thực dụng bảo vệngười sử dụng và không làm đổ vỡ web.

“Chúng ta cần tìmcách để làm cho việc lọc tự động và không đau đớnvà vì thế cung cấp lợi ích tối đa cho người sửdụng”, ông viết. “Tổng kết lại, XSS Filter sẽ chứngminh sự đáng giá của nó bằng việc nâng lên mức ngănchặn và làm dịu bớt các dạng XSS phổ biến nhất đượcthấy trên web ngày nay, mặc định, cho người sử dụngIE8”.

Inaddition to potentially introducing serious vulnerabilities intowebpages, the XSS protections can bring other undesirable results.That's because its engine frequently flags perfectly acceptablec-haracters as potentially harmful. An example of such a falsepositive is here.

DavidRoss, a senior software security engineer for Microsoft, hassaiddevelopers designing the feature aimed to strike strike apragmatic balance between protecting users and not breaking the web.

"Weneeded to find a way to make the filtering automatic and painless andthus provide maximum benefit to users," he wrote. "Insummary, the XSS Filter will prove its worth by raising the bar andmitigating the types of XSS most commonly found across the web today,by default, for users of Internet Explorer 8."

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com