Microsoft: bezpečnostní díry v programech - MujMAC.cz - Apple, Mac OS X, Apple iPod

Navigace:  » Úvodní stránka  » Rubriky  » Software  

17. dubna 2002, 00.00 | Microsoft se opět dostal na "titulní stránky", tentokrát však s bezpečnostními dírami, které má ve svých programech - postižený je Explorer, Entourage, Outlook Express, Excel a PowerPoint, jak na Mac OS, tak na Mac OS X!

Microsoft si i tento týden zasloužil pozornost na zpravodajských stránkách o Macích, tentokrát však z méně pozitivního důvodu - byly zveřejněny informace o bezpečnostních chybách, které obsahují Internet Explorer, Outlook Express a Office. Spolu s informacemi byly zveřejněné i záplaty na tyto chyby, odkazy a informace jak své programy aktualizovat najdete v článku.

Informace o chybách byla známá už od ledna, kdy ji zjistili výzkumníci z AngryPacket Security - poté, co Microsoft nereagoval, chtěli tyto poznatky v únoru zveřejnit - Microsoft nakonec zareagoval a požádal o odložení, dokud nevyvine záplaty.

O jaké problémy se přesně jedná? Podle Security bulletinu Microsoftu (má pro každou správu dvě verze: pro normální uživatele a pro IT profesionály - dobrá inspirace pro Apple, který občas dělá "blbce" i ze svých vývojářů) se jedná o dva typy problému - první díky chybě "buffer overrun" dovoluje potencionálně spustit libovolný kód na vašem počítači, druhá chyba, postihující pouze Mac OS 8 a 9, zase umožňuje spustit AppleScript, který se nachází na vašem počítači.

První chyba se vážně dotýká Exploreru a Entourage pro OS 9 i OS X a Outlook Expresu pro OS 9, méně vážná je v případě některých Office aplikací (tedy, případné následky jsou stejné, ale uživatel je za ně více odpovědný). Díky chybě v zpracování jednotlivých HTML elementů je možné úmyslně připravit HTML stránku, která způsobí přetečení bufferu a následně dovolí spustit libovolný kód útočníka. Ten díky tomu má stejná práva jako uživatel a může tedy i mazat či modifikovat soubory. Na OS X má útočník pouze ta práva, jaké má daný přihlášený uživatel - běžný uživatel například nemůže zasahovat do systému.

V případě Exploreru je nutné takovouto stránku zobrazit, u Entourage a Outlook Express by se jednalo o mail v HTML - k aktivování stačí pouze zobrazit náhled mailu, uživatel ho ani nemusí otevřít. Touto chybou také trpí Excel (verze 2001 i v. X) a PowerPoint (verze 98, 2001 i v. X), dokumenty mohou obsahovat i HTML a tedy lze počítač napadnout tímto způsobem, zde však považuje MS nebezpečí za menší - uživatelé prý nemají otevírat soubory z nebezpečných či nedůvěryhodných zdrojů.

Druhá chyba se může projevit pouze u IE na Mac OS 8 a 9 - za určitých okolností lze do stránky vložit odkaz na AppleScript, který obejde bezpečností opatření a spustí se. K tomu je však potřeba znát umístění daného AppleScriptu a také lze takto spouštět již pouze existující AppleScripty, nelze na počítač oběti dodat nový. Vzhledem k tomu, že je nutné zadat celou cestu, je nejjednodušší ochranou jiné než standardní jméno disku.

Obě dvě chyby se týkají pouze Maců - Windows verze programů nebudou nijak postiženy.

Jak své programy ošetřit? Nejjednodušší je to u Exploreru na Mac OS X - stačí spustit Software Update a provést aktualizaci na verzi 5.1.4. Patche na další programy najdete zde - zvlášť pro Office v. X, Office 2001 a pro IE 5.1 na OS 8/9 a pro Outlook Express. Patch pro PowerPoint 98 je zatím připravován.

Není známo, zda došlo kvůli této chybě k nějakým reálným útokům a ztrátám, naštěstí si takovýchto chyb často dříve všimnou "šťourové" z bezpečnostních skupin, kteří informují výrobce. Každopádně, Mac už ani v oblasti bezpečnosti není to co býval a přibližuje se zbytku světa.