Nhà nghiên cứu: lỗi chạy mã nguồn ảnh hưởng tới 200 ứng dụng Windows

Researcher:Code-execution bug affects 200 Windows apps

Sẽkhông có phương cách chữa trị nào cho màu xanh chết chóccài cắm nhị phân

Ain'tno cure for binary-planting blues

By DanGoodin in San Francisco • Getmore f-rom this author

Posted in Malware,20th August 201000:31 GMT

Theo:http://www.theregister.co.uk/2010/08/20/windows_code_execution_vuln/

Bài được đưa lênInternet ngày: 20/08/2010

Lờingười dịch: Lại một lỗi chết người nữa củaWindows khi tải các tệp nhị phân lên hệ điều hành đểlàm việc. Điều đáng nói ở đây là lỗi này có ảnhhưởng tới 200 ứng dụng chạy trên Windows và lỗi rấtdễ bị khai thác và khi máy tính bị khai thác thì nó cũngdễ dàng lây sang các máy khác. Một phần của lỗi nàyđã được đề cập lần đầu từ 10 năm trước.

Khoảng 200 ứng dụngWindows bị tổn thương đối với các cuộc tấn công mãchạy được mà nó khai thác một lỗi trong khi các chươngtrình tải các tệp nhị phân cho hệ điều hành củaMicrosoft, một nhà nghiên cứu nói hôm thứ năm.

Chỗ bị tổn thươngsống còn này, mà đã được và trong máy chơi phươngtiện iTunes của Apple cho các cộng cụ của Windows vàVmware, sẽ đặc biết thách thức việc sửa lỗi, vì mỗiứng dụng cuối cùng sẽ cần phải nhận được bản vácho riêng nó, Mitja Kolsek, CEO của hãng tư vấn an ninh ứngdụng Acros Security, đã nói cho The Register. Ông đã đồngý với bạn nghiên cứu H D Moore, người hôm thứ tư nóichỗ bị tổn thương sống còn này là dễ để khai thác.

Lúc này, Moore đã ướctính được có 40 chương trình đã bị tổn thương, nhưngcác chuyên gia an ninh từ Acros có trụ sở ở Slovenia đãthấy rằng 200 trong số 220 ứng dụng mà họ đã kiểmthử cho tới nay chịu những gì mà họ gọi là lỗi cấynhị phân. Họ còn phải hoàn tất yêu cầu của chúng.

“Chúng tôi đang mongđợi rằng sẽ có nhiều hơn”, Kolsek nói. “ chúng tôichỉ mới tìm kiếm những chỗ bị tổn thương mà chúngđã bị khai thác khi người sử dụng nháy đúp vào mộttài liệu hoặc làm một vài thứ với thực đơn”.

Các nhà nghiên cứuđã cảnh báo cho Microsoft về chỗ bị tổn thương nàykhoảng 4 tháng trước và đã và đang làm việc với cácthành viên của đội an ninh của mình kể từ đó đểphối hợp một sự sửa lỗi với nhiều bên bị ảnhhưởng. Họ đã và đang làm việc bí mật cho tới hômthứ tư, khi thông tin về lỗi này lần đầu tiên bị ròrỉ ra ngoài, ông nói. Ông nói Microsoft có thể có khảnăng đưa ra một số dạng sửa lỗi tạm thời trong khithứ gì đó vĩnh cửu còn phải chờ.

About200 Windows applications are vulnerable to remote code-executionattacks that exploit a bug in the way the programs load binary filesfor the Microsoft operating system, a security researcher saidThursday.

Thecritical vulnerability, which has already been patched in Apple'siTunes media player for Windows and VMware Tools, will be especiallychallenging to fix, because each application will ultimately need toreceive its own patch, Mitja Kolsek, CEO of application securityconsultancy Acros Security, told TheRegister. He agreed withfellow researcher H D Moore, who on Wednesday said the criticalvulnerability is trivial to exploit.

Atthe time, Moore estimated 40 programs were vulnerable, but securityexperts f-rom Slovenia-based Acros have found that about 200 of the220 applications they've tested so far suffer f-rom what they'recalling the binary-planting bug. They have yet to complete theirinquiry.

“Weare expecting that there should be many more,” Kolsek said. “Wewere just looking for those vulnerabilities that were exploitable interms of the user double-clicking a document or doing a couple ofthings with the menu.”

Acrosresearchers alerted Microsoft to the vulnerability about four monthsago and have been working with members of its security team sincethen to coordinate a fix with the many affected parties. They hadbeen working in secret until Wednesday, when word of the bug firstleaked out, he said. He said Microsoft may be able to release somesort of temporary fix while something more permanent is pending.

Tối thứ tư, một nữphát ngôn viên của Microsoft đã nói hãng đã nghiên cứubáo cáo và có thể đưa ra nhiều chi tiết hơn khi yêu cầuđược kết thúc. Bài này sẽ được cập nhật nếuMicrosoft có bất kỳ thứ gì đó mới để nói.

Chỉ những phần mềmkhác được biết sẽ bị ảnh hưởng là một hoặc nhiềuthành phần trong Windows. Cả Moore và Kolsek đã từ chốicung cấp những chi tiết xa hơn, ngoại trừ đối với mộtbài trên Twitter từ bài viết của Moore mà nói rằng chỗbị tổn thương này có thể đã được báo cáo, mộtphần, 10 năm về trước. Moore cũng viết bài trên tweeterrằng thông tin bổ sung có thể tới vào thứ hai.

Cho tới nay, những gìđược biết về chỗ bị tổn thương này hầu như tớitừ một nhà tư vấn Acros được đưa ra cho bản vá củaiTunes. Lỗi này cho phép những kẻ tấn công chạy các mãđộc hại trên các máy Windows bằng việc để máy chơiphương tiện mở một tệp nằm trên cùng mạng chia sẻnhư một tệp DLL được thiết kế một cách độc hại,báo cáo nói. Trong một số trường hợp, các lỗi có thểđược khai thác để chạy các tệp EXE và các dạng tệpnhị phân khác, Kolsek nói.

Cho tới khi có mộtsửa lỗi, người sửa lỗi có thể làm giảm đi sự phátlộ của họ bằng việc khóa các kết nối SMB ra ngoàitrên các cổng 445 và 139 và trên WebDAV, nhưng Kolsek, lặplại rằng sẽ không làm gì để ngăn cản các cuộc tấncông mà khởi phát trên các mạng cục bộ, và rằng cóthể là một vấn đề trong những tổ chức lớn, nơi mànhững tổn thương của một máy tính có thể được sửdụng như một điểm từ đó nhảy đi để lây nhiễm cácmáy tính cá nhân hoặc các máy trạm khác.

“Để chiếm hữumột máy tính duy nhất trong một mạng là rất dễ”, ôngnói. “Dạng chỗ bị tổn thương này có thể thực sựlà dễ dàng để có từ máy tính này cho việc chiếm hữumột số máy tính có quan tâm hơn, ví dụ, những máy tínhthuộc về những quản trị viên. Tường lửa bên ngoàirõ ràng không làm dừng được điều đó”.

OnWednesday evening, a Microsoft spokeswoman said the company wasinvestigating the report and would release more details when theinquiry was completed. This article will be up-dated if Microsoft hasanything new to say.

Theonly other software known to be affected is one or more components inWindows. Both Moore and Kolsek have declined to provide furtherdetails, except for a Twitter f-rom post f-rom Moore that said thevulnerability maybeen reported, in part, 10 years ago. Moore alsotweeted that additional information would come on Monday.

Sofar, what's known about the vulnerability comes mostly f-rom anadvisory Acros issued for the iTunes patch. The bug allowsattackers to execute malicious code on Windows machines by gettingthe media player to open a file located on the same network share asa maliciously designed DLL file, it said. In some cases, the bugs canbe exploited to execute EXE files and other types of binaries, aswell, Kolsek said.

Untila fix is in place users can lessen their exposure by blockingoutbound SMB connections on ports 445 and 139 and on WebDAV, butKolsek, reiterated that will do nothing to prevent attacks thatoriginate on local networks, and that can be a problem in largeorganizations, whe-re compromises of one machine can be used as ajumping-off point to infect other PCs or workstations.

“Toown a single computer inside a network is very easy,” he said.“This type of vulnerability would make it really easy to get f-romthis computer to owning some more interesting computers, for example,those belonging to admins. The external firewall would obviously notstop that.” ®

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com