Op freed 12 april publisearre spesjalist foar ynformaasjefeiligens John Page ynformaasje oer in net korrizjearre kwetsberens yn 'e aktuele ferzje fan Internet Explorer, en demonstrearre ek de ymplemintaasje dêrfan. Dizze kwetsberens kin in oanfaller mooglik tastean om de ynhâld fan lokale bestannen fan Windows-brûkers te krijen, troch browserfeiligens om te gean.
De kwetsberens leit yn 'e manier wêrop Internet Explorer MHTML-bestannen behannelet, typysk dy mei de .mht- of .mhtml-útwreiding. Dit formaat wurdt standert brûkt troch Internet Explorer foar it bewarjen fan websiden, en kinne jo de hiele ynhâld fan 'e side tegearre mei alle mediaynhâld opslaan as ien bestân. Op it stuit bewarje de measte moderne browsers websiden net mear yn it MHT-formaat en brûke it standert WEB-formaat - HTML, mar se stypje noch altyd it ferwurkjen fan bestannen yn dit formaat, en kinne it ek brûke foar it bewarjen mei de passende ynstellings of it brûken fan tafoegings.
De kwetsberens ûntdutsen troch John heart ta de XXE (XML eXternal Entity) klasse fan kwetsberens en bestiet út ferkearde konfiguraasje fan de XML-koade-hanneler yn Internet Explorer. "Dizze kwetsberens lit in oanfaller op ôfstân tagong krije ta de lokale bestannen fan in brûker en bygelyks ynformaasje ekstrahearje oer de ferzje fan software ynstalleare op it systeem," seit Page. "Dus in query foar 'c:Python27NEWS.txt' sil de ferzje fan dat programma weromjaan (de Python-tolk yn dit gefal)."
Sûnt yn Windows alle MHT-bestannen standert yn Internet Explorer iepenje, is it eksploitearjen fan dizze kwetsberens in triviale taak, om't de brûker allinich dûbelklikt op in gefaarlik bestân ûntfongen troch e-post, sosjale netwurken of instant messengers.
"Typysk, by it meitsjen fan in eksimplaar fan in ActiveX-objekt, lykas Microsoft.XMLHTTP, sil de brûker in feiligens warskôging krije yn Internet Explorer dy't freget om befêstiging om de blokkearre ynhâld te aktivearjen," ferklearret de ûndersiker. "As jo lykwols in foarôf makke .mht-bestân iepenje mei spesjale opmaak-tags de brûker sil gjin warskôgings krije oer mooglik skealike ynhâld."
Neffens Page hat hy de kwetsberens mei súkses hifke yn 'e hjoeddeistige ferzje fan' e Internet Explorer 11-blêder mei alle lêste befeiligingsupdates op Windows 7, Windows 10 en Windows Server 2012 R2.
Miskien is it ienige goede nijs yn 'e iepenbiere iepenbiering fan dizze kwetsberens it feit dat it ienris dominante merkoandiel fan Internet Explorer no is sakke nei mar 7,34%, neffens NetMarketShare. Mar om't Windows Internet Explorer brûkt as de standertapplikaasje om MHT-bestannen te iepenjen, hoege brûkers IE net needsaaklik as har standertbrowser yn te stellen, en se binne noch kwetsber salang't IE noch oanwêzich is op har systemen en se net betelje omtinken foar de downloadformaat triemmen op it ynternet.
Werom op 27 maart hat John Microsoft ynformearre oer dizze kwetsberens yn har browser, mar op april 10 krige de ûndersiker in antwurd fan it bedriuw, wêr't it oanjûn dat it dit probleem net as kritysk beskôge.
"De fix sil allinich wurde frijlitten mei de folgjende ferzje fan it produkt," sei Microsoft yn 'e brief. "Wy hawwe op dit stuit gjin plannen om in oplossing foar dit probleem frij te litten."
Nei in dúdlike reaksje fan Microsoft publisearre de ûndersiker details oer de kwetsberens fan nul dagen op syn webside, lykas demo-koade en in fideo op YouTube.
Hoewol de ymplemintaasje fan dizze kwetsberens net sa ienfâldich is en fereasket dat de brûker op ien of oare manier twingt om in ûnbekende MHT-bestân út te fieren, moat dizze kwetsberens net licht nommen wurde nettsjinsteande it gebrek oan antwurd fan Microsoft. Hackergroepen hawwe yn it ferline MHT-bestannen brûkt foar phishing- en malware-distribúsje, en neat sil har stopje om dit no te dwaan.
Om lykwols dit en in protte ferlykbere kwetsberens te foarkommen, moatte jo gewoan omtinken jaan oan de útwreiding fan 'e bestannen dy't jo fan it ynternet ûntfange en kontrolearje se mei in antyvirus as op' e VirusTotal-webside. En foar ekstra feiligens set jo jo favorite browser oars as Internet Explorer yn as de standertapplikaasje foar .mht- of .mhtml-bestannen. Bygelyks, yn Windows 10 wurdt dit frij maklik dien yn it menu "Selektearje standert applikaasjes foar bestânstypen".
Boarne: 3dnews.ru