884-1 Global Warming: Yes, There Is a Solution!, Multi-subtitles
A biztonsági kutató Tavis Ormandy felfedte a Sophos biztonsági vállalata által kidolgozott víruskereső termék kritikus sebezhetőségét, és tanácsokkal látta el a szervezeteket ne használja a terméket kritikus rendszereken, hacsak az eladó nem javítja a termékfejlesztést, a minőségbiztosítási és a biztonsági reagálási gyakorlatokat.
A Google-nak információbiztonsági mérnökként működő Ormandy részletesen ismertette azokat a biztonsági réseket, amelyeket egy " Sophail: Alkalmazott támadások a Sophos Anti ellen vírus ", amely hétfőn jelent meg. Ormandy megjegyezte, hogy a kutatást szabadidejében végezték el, és a papírban kifejtett nézetek a sajátja és nem a munkáltatója.
A dokumentum részleteket tartalmaz a Sophos vírusölő kód számos olyan sérülékenységéről, amelyek felelősek a Visual Basic 6 elemzéséért, PDF, CAB és RAR fájlokat. Néhány ilyen hiba távolról támadható meg, és tetszőleges kódot futtathat a rendszeren.
[További olvasmány: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógépről]Az Ormandy még tartalmazott egy bizonyíték-fogalmak kihasználását a PDF-elemző sérülékenységre, amelyre állítása szerint nincs szükség felhasználói interakcióra, hitelesítésre és könnyen átterjedő önálló kórothoz.
A kutató a Sophos víruskereső Mac verziójára telepítette a kizsákmányolást, de megjegyezte, hogy a sebezhetőség A termék és a kizárás Windows és Linux verziói könnyen lefordíthatók ezekre a platformokra.
A PDF-elemzés sebezhetőségét kihasználva egyszerűen megkapja az e-mailt az Outlook vagy a Mail.app alkalmazásban, mondta Ormandy a cikkében. Mivel a Sophos víruskereső automatikusan behatárolja a bemeneti és kimeneti (I / O) műveleteket, az e-mail megnyitása vagy olvasása nem szükséges.
"A globális hálózati féreg legrealisztikusabb támadási forgatókönyve az e-mailen történő önszaporítás" - mondta Ormandy. "A felhasználóknak nem szükséges kapcsolatba lépni az e-mailvel, mivel a biztonsági rést automatikusan kihasználják."
Egyéb támadási módok is lehetségesek, például megnyitva bármilyen támadó által nyújtott fájlt; (akár homokozóval ellátott böngészőben is), vagy a MIME cid segítségével beillesztheti a képeket: az URL-eket egy e-mailben, amelyet egy webmail kliensben nyit meg, mondta a kutató. "Minden olyan módszer, amelyet a támadó használhat az I / O okozásához, elegendő ahhoz, hogy kihasználja ezt a biztonsági rést."
Ormandy azt is megállapította, hogy a Sophos vírusölőhöz mellékelt "puffertúlcsordulás-védelmi rendszer" (BOPS) nevű összetevő letiltja az ASLR alapértelmezés szerint támogatja az összes olyan Windows-verziót, amelyik támogatja azt, beleértve a Vista-t és a későbbieket is.
"Ez egyszerűen lehetetlen letiltani az ASLR rendszert, így különösen azért, hogy eladja a naiv alternatívát az ügyfelek számára mint a Microsoft által nyújtott szolgáltatások "- mondta Ormandy.
A Sophos víruskereső által telepített internetes feketelista összetevő az Internet Explorer által feltörte a böngésző Protected Mode által biztosított védelmet. Ezenkívül a blacklisting összetevővel kapcsolatos figyelmeztetések megjelenítésére használt sablon egy univerzális helyszíni szkriptelési rést eredményez, amely megakadályozza a böngésző Same Origin házirendjét.
Azonos származási irányelv "az egyik alapvető biztonsági mechanizmus, amely biztonságossá teszi az internetet használja - mondta Ormandy. "A Same Origin Policy letartóztatásával a rosszindulatú weboldalak kölcsönhatásba léphetnek az Ön levelezésével, intranetrendszereivel, regisztrátorával, bankjaival és bérszámfejtő rendszerekkel stb."
Ormandy észrevételei az egész dokumentumban arra utalnak, hogy sok ilyen sebezhetőséget kellett volna elfogni a termékfejlesztési és minőségbiztosítási folyamatok során
A kutató előzetesen osztotta meg észrevételeit a Sophos-szal, és a vállalat biztonsági korrekciókat adott ki a papírban feltárt sérülékenységekről. A javítások közül néhányat október 22-én hajtottak végre, míg a többiek megjelentek november 5-én, a cég azt mondta hétfőn egy blogbejegyzésben.
Még mindig vannak olyan potenciálisan kihasználható kérdések, amelyeket Ormandy felfedezett fuzzing-on módszert - amelyeket megosztottak a Sophos-szal, de nem hozták nyilvánosságra. Ezeket a kérdéseket megvizsgálják és a javításokat november 28-án elindítják, a cég azt mondta:
"Biztonsági ügynökségként az ügyfelek biztonsága a Sophos elsődleges felelőssége" - mondta Sophos. "Ennek eredményeképpen a Sophos szakértői minden sebezhetőségi jelentést kivizsgálnak, és a lehető legrövidebb idő alatt hajtják végre a legjobb lépéseket."
"Jó, hogy a Sophos heteken belül képes volt a javításcsomagot végrehajtani, és az ügyfelek megzavarása nélkül "szokásos műveletek", mondta Graham Cluley, a Sophos vezető technológiai tanácsadója. "Hálásak vagyunk, hogy Tavis Ormandy megtalálta a sebezhetőségeket, hiszen ez segített a Sophos termékeinek jobbá tételében."
Ormandy azonban nem elégedett azzal a céllal, amikor a Sophos felszámolta a bejelentett kritikus sérülékenységeket. A kérdéseket szeptember 10-én jelentették be a vállalatnak.
"A jelentéshez való korai hozzáférés kapcsán a Sophos bizonyos erőforrásokat különített el a megvitatott kérdések megoldására, bár nyilvánvalóan nem megfelelő volt a egy kooperatív, nem ellentétes biztonsági kutató "- mondta Ormandy. "A kifinomult államilag támogatott vagy erősen motivált támadók könnyedén megsemmisíthetik az egész Sophos felhasználói bázist." "A Sophos azt állítja, hogy termékeiket az egészségügyben, a kormányzatban, a pénzügyekben és még a hadseregben is alkalmazzák" - mondta a kutató. "A kaszt, amit egy motivált támadó okozhat ezeknek a rendszereknek, reális globális fenyegetés. Ezért a Sophos termékeket csak az alacsony értékű, nem kritikus rendszereknél kell figyelembe venni, és soha nem telepítenek olyan hálózatokon vagy környezeteken, ahol az ellenfelek teljes kompromisszumának hiánya lenne. "
Ormandy papírja egy olyan szakaszt tartalmaz, amely leírja a legjobb gyakorlatokat és magában foglalja a kutató ajánlásait a Sophos ügyfelek számára, például olyan készenléti tervek végrehajtását, amelyek lehetővé teszik számukra, hogy rövid időn belül letiltsák a Sophos vírusirtó berendezéseket.
"A Sophos egyszerűen nem reagál elég gyorsan a támadások megelőzésére,. "Ha egy támadó úgy dönt, hogy a Sophos Antivirus-ot használja a hálózaton keresztül, a Sophos egyszerűen nem tudja megakadályozni a folyamatos behatolást egy ideig, és készenléti terveket kell készítenie a forgatókönyv kezelésére, ha úgy dönt, hogy folytatja a Sophos telepítését."
Az Android nem igényel víruskereső szoftvereket, a kutató szerint
A SMobile kiadta az első Android víruskereső programot, de egy elemző szerint valószínűleg nem szükséges.
Az MS08-069-es frissítés javítja az Internet Explorer és más programok által használt Microsoft XML Core Services kritikus hibáit Weboldalak. A második MS08-068-as frissítés egy kevésbé kritikus hibát javít a Windows által használt Windows Server Message Block (SMB) szoftverben fájlok megosztására és dokumentumok nyomtatására hálózaton keresztül.
A hackerek rutinszerűen használnak olyan webes hibákat, mint például ezek az XML hibák a fertőzéshez Windows gépek. "Ha bármikor frissítené a webes sérülékenységeket, akkor kritikusként fogja értékelni őket" - mondta Andrew Storms, a biztonsági ügynökök igazgatója a nCircle biztonsági szállítóval. A webalapú támadásokhoz az áldozatnak először meg kell látogatnia egy veszélyeztetett weboldalt, vagy meg kell nyitnia egy e-mailt, amely a rosszindulatú kódot jeleníti meg.
Alatt Az Adobe kiadta a "Patch kedd" frissítéseit - a kritikus sérülékenységeket három széles körben elterjedt termékek.
Január második keddje, amely ez lesz az első 2013-as kedd kedd. Az Adobe néhány kritikus sebezhetőséget kezel a szoftverben, valamint a Patch kedden.